Nothing Special   »   [go: up one dir, main page]

WO2002019613A1 - Method for generating unchallengeable signatures, in particular by an integrated system, and integrated system therefor - Google Patents

Method for generating unchallengeable signatures, in particular by an integrated system, and integrated system therefor Download PDF

Info

Publication number
WO2002019613A1
WO2002019613A1 PCT/FR2001/002720 FR0102720W WO0219613A1 WO 2002019613 A1 WO2002019613 A1 WO 2002019613A1 FR 0102720 W FR0102720 W FR 0102720W WO 0219613 A1 WO0219613 A1 WO 0219613A1
Authority
WO
WIPO (PCT)
Prior art keywords
signature
keys
entity
key
diversified
Prior art date
Application number
PCT/FR2001/002720
Other languages
French (fr)
Inventor
Michel Hazard
Original Assignee
Cp8 Technologies
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cp8 Technologies filed Critical Cp8 Technologies
Priority to AU2001287797A priority Critical patent/AU2001287797A1/en
Publication of WO2002019613A1 publication Critical patent/WO2002019613A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Definitions

  • the invention relates to a method for generating non-repudable signatures, in particular by an on-board system with an electronic chip.
  • the invention also relates to an on-board system for implementing the method, in particular a smart card.
  • the term "on-board system” must be understood in its most general sense. It relates in particular to all kinds of light terminals provided with an electronic chip, and more particularly to the smart cards themselves.
  • the electronic chip is provided with means for recording and processing digital data, for example a microprocessor for these latter means.
  • the electronic signature is a binary sequence usually obtained by encryption of the message transmitted using a particular cryptology algorithm and signature keys. It should be understood, however, that the message itself can be transmitted in clear if there are no specific confidentiality needs. This is a technique called "sealing".
  • the message and the signature are transmitted to the recipient, possibly accompanied by elements of encryption or verification keys in certain cryptographic processes implementing a so-called public key.
  • the recipient uses the signature and the message transmitted using the same algorithm and the aforementioned public key, which allows him to verify the authenticity of the sender's signature. Incidentally, the process guarantees the integrity of the message transmitted. Indeed, if it were to be accidentally or maliciously corrupted, the decryption makes it possible to highlight this dysfunction.
  • an “electronic signature” is defined as follows: “data in electronic form, which is attached or logically linked to other electronic data and which serves as an authentication method”.
  • the invention relates more particularly to the second type of electronic signature. To do this, it is necessary to have recourse to secure devices, implementing a data encryption (signature) process, so-called “qualified” certificates and an authority, called “certification service provider” in the directive. , which will be called hereinafter "certification authority”.
  • the certification authority notably generates a public key used in the aforementioned process by smart cards.
  • asymmetric cryptographic methods must be used. According to these methods, a private, that is to say secret, signature key is held by the signatory, and a public signature verification key. In reality, in smart card-based applications, the private key is stored in a non-volatile memory area of the signatory's smart cards, memory type "ROM”, "EEPROM” or equivalent.
  • Asymmetric cryptographic processes are deemed to be non-repudable because the signature verifier, due to the characteristics inherent in these processes, does not know how to sign.
  • asymmetric cryptography requires significant IT resources, at least compared to those usually offered by an electronic chip. It is in particular necessary to provide an arithmetic co-processor to carry out the encryption / decryption calculations.
  • the invention aims to overcome the drawbacks of the methods and devices of the known art, some of which have just been mentioned, while satisfying the needs which are felt.
  • the object of the invention is to provide a method for generating non-repudable signatures, specially adapted to applications using light terminals such as on-board electronic chip systems, and more particularly chip cards, one of the characteristics of which is offer limited IT resources.
  • the method according to the invention associates symmetric cryptography with asymmetric static cryptography, it being understood that the operations implementing this latter method are not carried out in the on-board terminal. he It follows that it is not necessary to provide it with increased computing power, in particular to install a mathematical co-processor.
  • the method comprises a preliminary phase comprising the following main steps:
  • All smart cards are provided with two pairs of so-called "mother” signature keys, the two pairs of keys being identical for all smart cards.
  • Each smart card also receives two diversified w keys specific to each smart card, calculated from these pairs of "mother” keys and an identifier specific to the smart card in question (and / or any other information identifying the carrier) and contained therein.
  • the calculation of the diversified keys is carried out by using a symmetric cryptographic method, preferably, but not exclusively, by using the so-called “triple DES” method.
  • the identifier (and possibly other information) of the smart card is (are) certified by a private (ie secret) key held by an authority known as "certification" .
  • This certificate is (are) certified by a private (ie secret) key held by an authority known as "certification" .
  • the certificate is calculated by using an asymmetric type of cryptography process, preferably the so-called "RSA” process mentioned above. It should however be understood that the necessary calculations are
  • the certification authority which can have powerful IT resources and not by smart card. More specifically, the certificate is calculated from the identification data of the smart card and / or of its holder using a private key, the latter being the property of the certification authority.
  • this preliminary phase is usually carried out during the so-called "personalization" operation of smart cards.
  • the public certification key is available for the control of certificates by the certification authority and for the control by each of the owners of a signature instrument. It can be, in a first variant, all users with a smart card, or, in a second variant, only users belonging to the same group. In the latter case, the user population is split into at least two distinct groups.
  • the subsequent steps include at least the generation of a signature when a message or more generally of an electronic document is sent by one of the smart card owners. , which we will call signatory.
  • the signature is calculated by encrypting the data to be transmitted using the aforementioned diversified keys, using a symmetric cryptographic algorithm, preferably the triple "DES" as indicated above. Reconstitution and verification of the signature is carried out by an operation identical to encryption, by one or more recipients, using the diversified keys of the signatory, reconstituted by the recipient (s), and using the same symmetric algorithm. .
  • the signatory also transmits his certificate and the identification data used to calculate it in step 3.) of the preliminary phase. This certificate is verified by the recipient (s) using the aforementioned public key.
  • An asymmetric algorithm is used.
  • the necessary calculations can be carried out by a host terminal of the smart card. According to a second embodiment of the method according to the invention, it also includes most of the steps of the preliminary phase.
  • one of the two diversified keys is obtained from one of the two pairs of "master" keys and identification data of a recipient, and no longer of the sender as in the first variant. According to this variant, only this recipient is then able to verify the signature of the issuer. With this exception, the verification is carried out in the same manner as above.
  • all the smart cards have the two pairs of mother keys, which can be weak from a security point of view.
  • a pair of diversified keys is added to each of the smart cards resulting from the diversification of two pairs of authentication keys belonging to the certification authority. This operation is carried out during an additional stage of the preliminary phase.
  • the keys of each smart card are calculated using a symmetric algorithm and an identifier specific to this smart card.
  • the symmetric algorithm is preferably a triple "DES”.
  • the smart card From the diversified keys resident in the smart card and the previously generated signature, using a symmetric algorithm, the smart card generates additional data which will be called hereinafter "signature authentication data" .
  • signature authentication data This data is also transmitted to the recipient (s). This (these) last (s) little (come) submit them to the certification authority which can in turn authenticate them by return.
  • a signature generation counter used to secure the generation of signatures and ensure traceability, for example to detect different signatures bearing the same number.
  • the meters are also resident in smart cards and can optionally be used for the initialization of any data signature.
  • the main object of the invention is therefore a method of generating a signature which cannot be repudiated by a first entity of a set, in particular by an on-board system with an electronic chip comprising at least non-volatile memory means and calculation means, said signature being intended to be disseminated and verified by at least one of said entities of the set, characterized in that it comprises a preliminary phase comprising at least the following steps: the storage in said non-volatile memory means of two pairs of so-called "mother” signature keys, common to all of said entities; generation, from at least one of said pairs of "mother” signature keys and a unique identifier, specific to said first entity, of a first so-called "diversified” signature key, by application of an algorithm symmetric cryptography and the storage of said diversified key in said non-volatile memory means; storing said unique identifier in said non-volatile memory means; the generation by an additional entity called "certification authority" of a certificate constituting an authorization to sign for said first entity, said certificate being obtained from at least
  • the invention also relates to an on-board electronic chip system for implementing this method, in particular a smart card.
  • FIG. 1 schematically illustrates the architecture of a smart card for generating a non-repudiable signature according to the invention
  • FIG. 2 schematically illustrates the generation of a so-called diversified signature key for the smart card of FIG. 1 from a pair of so-called "mother" signature keys and an identifier of the smart card;
  • FIG. 3 schematically illustrates the process for generating a non-repudiable signature according to a first embodiment of the method according to the invention;
  • FIG. 4 schematically illustrates the process of generating so-called signature authentication keys by an entity called the certification authority;
  • FIG. 5 schematically illustrates the process for generating a non-repudiable signature according to a second embodiment of the method according to the invention;
  • FIG. 6 illustrates the process of generating so-called authentication data from the aforementioned authentication keys and signature;
  • - Figure 7 schematically illustrates the different data transmitted by a signatory smart card;
  • FIG. 8 schematically illustrates the step of verifying a signature generated according to the first mode of generation of non-repuditable signatures;
  • FIG. 9 schematically illustrates the step of verifying a signature generated according to the second mode of generation of non-repudable signatures.
  • FIG. 10 schematically illustrates the authentication process by the aforementioned certification authority of a signature generated by a smart card.
  • FIG. 1 schematically illustrates the architecture of a smart card CP dripi being an arbitrary index identifying one of the smart cards of a set of n smart cards CPi to CP n (not shown).
  • CPi a smart card
  • CP n a set of n smart cards
  • CP n a smart card
  • FIG. 1 schematically illustrates the architecture of a smart card CP dripi being an arbitrary index identifying one of the smart cards of a set of n smart cards CPi to CP n (not shown).
  • M non-volatile memory
  • ROM Read-OnlyMemory
  • EEPROM Electrical Erasable Programmable Read Only Memory
  • , M 2 , M 4 and ⁇ are recorded in predetermined memory positions, respectively in the example.
  • MKS ⁇ and MKS ⁇ are recorded in predetermined memory positions, respectively in the example.
  • MKS ⁇ and MKS ⁇ are recorded in predetermined memory positions, respectively in the example.
  • MKS ⁇ and MKS ⁇ are recorded in predetermined memory positions, respectively in the example.
  • MS 22 is recorded in predetermined memory positions, respectively in the example.
  • These "mother” keys are common to all smart cards, CP-i to CP n .
  • a user Uj that is to say the holder of the chip card CP h, signs a message or transmitted data. All other users can verify this signature.
  • FIG 2 schematically illustrates the calculation of the dKS ⁇ key.
  • the triple “DES”, referenced 1 comprises three stages in cascade 10 to 12. For example, stages 10 and 12 carry out a "DES” called “direct”.
  • the signature key used for these two stages is, again in the example, the key S 11 .
  • the intermediate stage 11 performs a so-called reverse "DES", which will be denoted "DES '1 ".
  • the signature key used for this stage is the key ⁇ - S 1 2.
  • an identification data ID is injected, - from the chip card CPj and / or from its bearer U, - ( figure 1).
  • This identification data ID, - can be unique or from several separate data, for example concatenated, with possibly filling data to obtain a binary word of predetermined length.
  • FIG. 1 two sources of identification data have been shown, denoted Info and Div (number of the smart card CP h, etc.). These data are also resident in the smart card CP, - and, in the example illustrated, recorded in the positions M 7 and M 8 of the memory M.
  • stage 10 The output of stage 10 is transmitted to the entrance of stage 11 and the output of stage 11 is transmitted to the entrance of stage 12. Finally, at the exit of stage 12, we obtain the diversified key dKS ⁇ , specific to the chip card CP / , diversified key recorded in the memory position M 3 as indicated.
  • the calculations are carried out in a secure environment, for example by an entity that will be called "the inserter", outside of the chip card CP ,.
  • Module 1 for the implementation of "T-DES” can either be of the "hardware” type (specialized circuits) or use software.
  • the dKS 2 (i ) key is obtained identically and there is no need to rewrite the process.
  • a CTA certificate is calculated by a so-called CA certification authority.
  • this last entity CA implements, according to one aspect of the method according to the invention, an asymmetric algorithm, referenced 2, preferably the aforementioned "RSA" algorithm.
  • Identification data ID, of the smart card CP are encrypted using a private key, property of the certification authority CA, which will be noted KA.
  • the result of the encryption operation that is to say the CTA certificate, is recorded in the memory position M 9 .
  • the CA certification authority also distributes a public signature verification key, associated with the private key K A and which will be called Kp below, to all the smart cards. It has been assumed, up to this point in the description, that all the users U, - possessors of a chip card CP, were part of a single group, and therefore that the public key Kp was set to available to all these users U, -. According to another variant of the embodiment of the method, it is possible to divide all of these users into at least two groups (not shown). Each group will therefore have at its disposal a public key distinct from that of the other groups: C p1 , Kpz, ..., K pm , if we assume that m is the number of distinct groups.
  • FIG. 3 schematically illustrates the generation of a signature, referenced SIGNj, by the smart card CP ,.
  • the bearer U, - of the card CP, - wants to send a message MSG which must be signed.
  • the message MSG produced by known data processing means, for example the host terminal T of the smart card CP •is transmitted at the input of a" T-DES ", referenced 3, or any other similar symmetric algorithm.
  • the MSG message can be subjected beforehand to a so-called “hashing” operation.
  • the logical architecture of this "T-DES" 3 is identical or at least quite similar to that described with regard to FIG. 2.
  • the key used for the direct “DES” stages is, for example, the key and the key used for the stage “DES “ 1 "is the key dKS 2 ( i ) . Since it is a symmetric algorithm, it is not necessary to have powerful means of calculation. the signature can therefore advantageously be carried out inside the chip card CP bathusing the standard calculation means at its disposal (not shown). It follows that, although for reasons of clarity in the drawing, the calculation means 3 have been shown in the figure on the outside of the chip card CP, -, it should be understood that they are preferably installed in the electronic chip thereof. these are not usually specific circuits, but it is preferable to calculate the signature SIGN, using software, stored in memory M, cooperating with the abovementioned standard calculation means.
  • FIG 4 schematically illustrates the process of generating additional diversified keys, dKSA ⁇ and dKSA2
  • the so-called “signature authentication key pairs", MKSA and MKSA ⁇ , MKSA21 and MKSA22, respectively, are passed to the key entries modules implementing a symmetric algorithm, preferably a "T-DES", denoted l 'and 1 ".
  • an identifier ID is injected, - characterizing the smart card CP.
  • the process of calculating the keys dKSA ⁇ and dKSA 2 ⁇ i) is identical, or at the very least similar fact to that (figure 2: 1) used to calculate the diversified keys dKS ⁇ and dKS ⁇ ⁇ .
  • the calculation is carried out during a preliminary phase, in a secure environment, for example during the phase called "personalization" of the smart card CP ,.
  • the results w of the calculations that is to say the signature authentication keys dKSA ⁇ and dKSA 2 ( i ) , are also recorded in the memory M of the smart card, in the positions / W- ⁇ 0 and Mu (see also Figure 1).
  • a signature generation counter 4 is advantageously provided, the output of which is denoted CGS.
  • Counter 4 is used to secure the 0 generation of signatures and to ensure traceability (different signatures with the same number). If we refer again to Figure 3, we see that the CGS output is transmitted to the data input of "T-DES" 3. In practical terms, it is a binary word which can be concatenated with the message to sign MSG. This counter 4 is also installed in the
  • 25 smart card CPj and optionally serves to initialize any signature of data. It may be a hardware component, for example belonging to the circuits of the calculation means of the electronic chip of the chip card CPj. Counting (word CGS) can also be obtained by software means.
  • one of the diversified keys for example the key, now referenced dKS ' 2 (j)
  • dKS ' 2 (j) is obtained using data from diversification of another smart card, of the group to which the smart card CPj belongs if there are several distinct groups, for example the identification data ID j of the smart card CPj, and not from the data of identification IDj of the signatory smart card CPj.
  • the other phases and stages are identical to those which have been described for the first embodiment. It is therefore unnecessary to re-describe them in full.
  • this embodiment is compatible with the use of signature authentication keys, dKSA ⁇ and dKSA 2 ⁇ , and with the use of a signature generation counter 4 producing the word CGS.
  • the diversified signature key dKS ′ 2 (j) is calculated from the pair of “mother” signature keys MKS ⁇ i and MKS 22 , as before, but using the identifier ID j from the card to CPj chip, identifier recorded in one or more positions of the memory M 'thereof, in a similar manner to the identifier IDj for the chip card CPj.
  • the calculation of the signature key is accomplished by use of a "T-DES", referenced 3 ', receiving on these key inputs, key mothers ⁇ i MKS and MKS 22, and in data entry, the aforementioned IDj identifier.
  • the output represents the diversified signing key dKS ' 2 (i).
  • SIGN'j the process implemented is identical to that of calculating the signature SIGNj in FIG. 3.
  • SIGN'j the process implemented is identical to that of calculating the signature SIGNj in FIG. 3.
  • an algorithm symmetrical, preferably the "T-DES" algorithm (module 3) except for the fact that the key dKS ' 2 (j) is calculated differently, as has just been shown.
  • the message to be signed MSG is injected, and optionally the CGS signature count word (counter 4: FIG. 3).
  • the signature calculation SIGN'j is performed a priori in the smart card CPj, so that the diversified keys c // (Si (,) and dKS ' 2) remain confined in it. . It is the same for the calculation of the key dKS ' 2 ⁇ ) by the module 3'.
  • the diversification of the pairs of mother keys MKS ⁇ , MKS ⁇ , MKS21, and MKS22 by the identifier of a smart card, IDj of the smart card CPj by example, which would allow to find the diversified keys is prohibited.
  • This can be obtained simply by hardware or software means prohibiting the disclosure of these keys and their implementation for the generation of a signature. Only the signature obtained using these diversified keys can be transmitted to the outside world.
  • FIG. 6 schematically illustrates the generation of such data, referenced ASIGNj for the smart card CPj.
  • dKSA ( j ) and dKSA 2 (i) are used, generated in the explicit manner opposite FIG. 4 and which are stored in memory M, in the positions M 10 and Mu, in the example described.
  • the generated signature SIGNj is transmitted to the input of a "T-DES", referenced 3 ".
  • the CGS counting data (FIG. 3) can also be injected as a data input, for example by concatenating it with the message to be signed MSG.
  • the keys dKSA ⁇ and dKSA 2 (,) are used as signature keys.
  • the logical architecture of module 3 " is identical or at least quite similar to that of module 3 in the figure 3 used to generate the signature SIGN ,.
  • the output of module 3 "represents the signature authentication data sought ASIGNj. This data is transmitted to the recipient (s) of the signature SIGNj. As before, the calculation is carried out inside the card to CP chip, so that the dKSA ⁇ and dKSA 2 ( i ) keys do not leave it. In reality, the final recipient of the ASIGNj data is the CA certification authority ( Figures 1 or 4).
  • a recipient for example U j , who wants to authenticate the signature received SIGN and ensure that it is a valid smart card CP, which issued it, submits the data of ASIGNj signature authentication to the CA certification authority, which alone can validate them since it stores the mother keys, MKSAn to MKSA 22 , which were used to calculate the keys dKSA ⁇ and dKSA 2 ( .).
  • FIG. 7 schematically illustrates the various data transmitted by a signatory smart card CPj to the recipient (s), in a preferred variant embodiment.
  • the transmitted data are as follows:
  • the addressee (s) can verify the signature SIGNj and, in the preferred variant, authenticate it using the data ASIGNj.
  • FIG. 8 schematically illustrates the step of verifying the signature SIGNj, generated in accordance with the first embodiment of the method according to the invention, by at least one user Uj belonging to a given group or to all of the users, s' there are no groups distinct.
  • the first embodiment authorizes verification a priori by all users, Li to U n , listening to the message sent MSG and its signature SIGNj.
  • Verification consists in reconstructing the signature of the issuer and comparing it with that received.
  • a smart card CPj receiving from the smart card CPj the various data illustrated in FIG. 7.
  • the architecture of the smart card CPj is, a priori, quite similar to that of the chip card CPj, otherwise identical.
  • a first diversified key, referenced dKS ⁇ ⁇ is calculated from the mother keys MKSu and and of the identifier IDj received from the chip card CP ,, by using a symmetrical algorithm, preferably a "T-DES", referenced 5a.
  • the identifier IDj is injected on the data entry.
  • the mother keys MKSu and MKS ⁇ are transmitted to the key entries.
  • a second diversified key is calculated in the same way using the "T-DES" 5b, from the mother keys MS 2 ⁇ and MKS 22 and also from the identifier received IDj.
  • the calculated diversified keys, dKS ⁇ and dKS ⁇ can be temporarily stored in registers, 6a and Qb, or in positions of a random access memory (not shown) which is usually provided with a smart card.
  • a third "T-DES", referenced 5c receives as keys the keys previously calculated and on its data input, the message MSG transmitted by the chip card CPj, as well as possibly the counting word CGS signature generation .
  • the data output from the module 5c, referenced SIGN is assumed to represent the signature SIGNj sent by the smart card CPj.
  • the corresponding data can be stored in a register 6c or a position of RAM.
  • a comparison operation is carried out performed by the module 7.
  • the chip card CP j also receives the certificate CTA, from the chip card CPj (see FIG. 7).
  • the latter can be checked by module 8 using the public key Kp issued by the CA certification authority ( Figures 1 and 4).
  • the public key Kp is made available to all the users U j , at least within the same group if there are several distinct groups. Data for verifying the CTA certificate is available on output S 1 .
  • a diversified key, dKS ⁇ is calculated from the identifier IDj received from the smart card CPj.
  • the diversified key dKS 2 ⁇ stored in the chip card'CP, is directly used as a signature key. It is assumed that the key dKS 2 (/ j has been obtained by diversification from the mother keys MKS 2 ⁇ and MKS 22 and the identifier ID j provided by the smart card CPj.
  • the key dKS 2) and the calculated key dKS are transmitted to the key inputs of the "T-DES" 5c, which receives on its data input, as before, the message transmitted MSG and, optionally, the signature count word CSG.
  • the rest of the process is identical to that described for the first embodiment ( Figure 9), and there is no need to re-describe it in detail.
  • the CTA certificate is verified in the same way as before.
  • Any user U j having verified a signature generated by another user can submit to the certification authority CA the identifier of the signatory IDj, the certificate of this identifier CTA, the signature SIGN, the data of ASIGNj authentication and optional CGS signature generation count data.
  • the CA certification authority recalculates, from the pairs of mother keys MKSA to MKSA 22 and the diversifier ID, -
  • the mother key pairs MKSA -MKSA ⁇ , on the one hand, and MKSA21- MKSA 22 , on the other hand, are transmitted to the key inputs of two "T-DES" modules, 9a and 9b, which receive, on their inputs IDj identifiers.
  • the outputs of these modules provide the diversified signature authentication keys, dKSA ⁇ and dKSA 2 (, ) , keys transmitted to the key inputs of a third "T-DES", referenced 9c.
  • the latter receives on its data input, the SIGN signature, and the optional signature generation counting data CGS.
  • the ASIGN data present on the output of the "T-DES" 9c are supposed to represent the reconstituted ASIGN data.
  • these keys, dKSA ⁇ and dKSA (,), are not transmitted directly by the user Uj, but recalculated by the certification authority CA, by application of "T-DES" (not shown) and to the using the mother keys MKSA -MKSA ⁇ , on the one hand, and MKSA rMKSA 2 2, on the other hand, and the identifier ID j of the user Uj, in a manner analogous to the calculation of the keys dKSA ⁇ and dKSA 2 ( , ) .
  • the signed result R at the output of the "T-DES” 9e, can then be deciphered by the user U j using his own authentication keys dKSAi Q) and dKSA ⁇ ®, by applying a " T-DES "additional (not shown).
  • a password or similar identification (“PIN-code, etc.) may be required to further enhance the security of the process.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)

Abstract

The invention concerns a method for generating unchallengeable signature with a smart card (CPi). The latter stores in a storage unit (M) two pairs of so-called mother keys and two diversified keys (dKS1(i) and dKS2(i)) obtained from said pair of keys and an identifier, by applying a triple DES cryptographic algorithm and a certificate generated by a certification authority based a private key of said authority, a public key and by applying a RSA cryptographic algorithm. The signature (SIGNi) is obtained from the two diversified keys (dKS1(i) and dKS2(i)) and data (MSG) to be transmitted by applying a triple DES (3). In a preferred embodiment, two authenticating additional keys are stored in the storage unit (M). Said keys are generated by the certification authority and serve to generate data authenticating the signature, by applying a triple DES.

Description

PROCEDE DE GENERATION DE SIGNATURES NON-REPUDIABLES, PROCESS FOR GENERATING NON-REPUDIABLE SIGNATURES,
NOTAMMENT PAR UN SYSTEME EMBARQUE, ET SYSTEMEIN PARTICULAR BY AN ON-BOARD SYSTEM, AND SYSTEM
EMBARQUE POUR LA MISE EN ŒUVRE DU PROCEDEON BOARD FOR THE IMPLEMENTATION OF THE PROCESS
L'invention concerne un procédé de génération de signatures non répudiables, notamment par un système embarqué à puce électronique.The invention relates to a method for generating non-repudable signatures, in particular by an on-board system with an electronic chip.
L'invention concerne encore un système embarqué pour la mise en œuvre du procédé, notamment une carte à puce. Dans le cadre de l'invention, le terme "système embarqué" doit être compris dans son sens le plus général. Il concerne notamment toutes sortes de terminaux légers munis d'une puce électronique, et plus particulièrement les cartes à puce proprement dites. La puce électronique est munie de moyens d'enregistrement et de traitement de données numériques, par exemple un microprocesseur pour ces derniers moyens.The invention also relates to an on-board system for implementing the method, in particular a smart card. In the context of the invention, the term "on-board system" must be understood in its most general sense. It relates in particular to all kinds of light terminals provided with an electronic chip, and more particularly to the smart cards themselves. The electronic chip is provided with means for recording and processing digital data, for example a microprocessor for these latter means.
Pour fixer les idées, et sans que cela limite en quoi que ce soit sa portée, on se placera ci-après dans le cas de l'application préférée de l'invention, à savoir les applications à base de cartes à puce, sauf mention contraire. Ces dernières années, les échanges de documents sous forme électronique se sont fortement accrus, notamment via le réseau Internet. Or ces échanges posent plusieurs problèmes. En particulier, comme dans le cas de documents sous forme traditionnelle, c'est-à-dire notamment sous forme papier, il est généralement nécessaire d'y apposer une signature et, surtout que cette signature identifie sans ambiguïté l'émetteur du document et ne soit pas répudiable par son destinataire.To fix the ideas, and without this limiting in any way its scope, we will place ourselves below in the case of the preferred application of the invention, namely applications based on smart cards, unless stated opposite. In recent years, the exchange of documents in electronic form has greatly increased, in particular via the Internet. However, these exchanges pose several problems. In particular, as in the case of documents in traditional form, that is to say in particular in paper form, it is generally necessary to affix a signature thereto, and above all that this signature unambiguously identifies the sender of the document and is not repudiable by its recipient.
Jusqu'à une période récente, seul§ les documents "papiers" pouvaient faire foi. Dans beaucoup de pays, la loi exige d'ailleurs une signature manuscrite originale. Or, dans un environnement électronique, l'original d'un document, par exemple d'un contrat, ne se distingue en aucune façon d'une copie.Until recently, only§ "paper" documents could prevail. In many countries, the law requires an original handwritten signature. However, in an electronic environment, the original of a document, for example a contract, is in no way different from a copy.
Il existe cependant des technologies qui permettent de remplir tout ou partie de fonctions perçues comme caractéristiques d'une signature manuscrite traditionnelle. Ces technologies mettent en œuvre généralement des techniques de chiffrement, associées ou non à des certificats d'authentification. La signature électronique est une séquence binaire habituellement obtenue par le chiffrement du message transmis à l'aide d'un algorithme de cryptologie particulier et de clés de signature. On doit bien comprendre cependant que le message proprement dit peut être transmis en clair s'il n'existe pas de besoins particuliers de confidentialité. Il s'agit d'une technique dite de "scellement". Le message et la signature sont transmis au destinataire, accompagnés éventuellement d'éléments de clés de chiffrement ou de vérification dans certains procédés de cryptographie mettant en œuvre une clé dite publique. Le destinataire utilise la signature et le message transmis à l'aide du même algorithme et la clé publique précitée, ce qui lui permet de vérifier l'authenticité de la signature de l'émetteur. Accessoirement, le processus permet de garantir l'intégrité du message transmis. En effet, si celui-ci venait à être corrompu de façon fortuite ou malveillante, le déchiffrement permet de mettre ce dysfonctionnement en évidence.However, there are technologies which make it possible to fulfill all or part of the functions perceived as characteristic of a traditional handwritten signature. These technologies generally implement encryption techniques, whether or not associated with authentication certificates. The electronic signature is a binary sequence usually obtained by encryption of the message transmitted using a particular cryptology algorithm and signature keys. It should be understood, however, that the message itself can be transmitted in clear if there are no specific confidentiality needs. This is a technique called "sealing". The message and the signature are transmitted to the recipient, possibly accompanied by elements of encryption or verification keys in certain cryptographic processes implementing a so-called public key. The recipient uses the signature and the message transmitted using the same algorithm and the aforementioned public key, which allows him to verify the authenticity of the sender's signature. Incidentally, the process guarantees the integrity of the message transmitted. Indeed, if it were to be accidentally or maliciously corrupted, the decryption makes it possible to highlight this dysfunction.
Certains pays, comme l'Allemagne, l'Italie, le Danemark, en Europe, certains Etats des Etats-Unis ou du Canada (le Québec) ont légalisé des procédés de signature électronique. Fin 1999, le Parlement Européen et le Conseil de l'UnionSome countries, such as Germany, Italy, Denmark, Europe, some states in the United States or Canada (Quebec) have legalized electronic signature procedures. At the end of 1999, the European Parliament and the Council of the Union
Européenne ont émis une directive qui devra être transcrite dans les droits nationaux des pays membres (article 13). Dans l'article premier de cette directive, 1 Θr alinéa, il est indiqué que "l'objectif de la présente directive est de faciliter l'utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique. Elle institue un cadre juridique pour les signatures électroniques et certains services de certification afin de garantir le bon fonctionnement du marché intérieui".Europeans have issued a directive which will have to be transcribed into the national laws of the member countries (article 13). In article 1 of this directive, 1 alinéar paragraph, it is stated that "the objective of this directive is to facilitate the use of electronic signatures and to contribute to their legal recognition. It establishes a legal framework for signatures electronic and certain certification services in order to guarantee the proper functioning of the internal market. "
A l'article 2, une "signature électronique" est définie comme suit : "une donnée sous forme électronique, qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification".In Article 2, an "electronic signature" is defined as follows: "data in electronic form, which is attached or logically linked to other electronic data and which serves as an authentication method".
Il est prévu deux types de signatures électroniques, l'une pouvant être qualifiée de "simple". La seconde est appelée "avancée" dans la directive. Il s'agit d'une signature électronique "qui satisfait aux exigences suivantes : a) être liée uniquement au signataire ; b) permettre d'identifier le signataire ; c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif; et d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable".There are two types of electronic signatures, one of which can be described as "simple". The second is called "advanced" in the Directive. It is an electronic signature "which meets the following requirements: a) be linked only to the signatory; b) allow the signatory to be identified; c) be created by means that the signatory can keep under his exclusive control; and d) be linked to the data to which it relates in such a way that any subsequent modification of the data is detectable ".
L'invention vise plus particulièrement le second type de signature électronique. Pour ce faire, il est nécessaire d'avoir recours à des dispositifs sécurisés, mettant en œuvre un procédé de chiffrement (signature) de données, des certificats dits "qualifiés" et une autorité, appelée "prestataire de service de certification" dans la directive, que l'on appellera ci-après "autorité de certification". L'autorité de certification génère notamment une clé publique utilisée dans le processus précité par les cartes à puce.The invention relates more particularly to the second type of electronic signature. To do this, it is necessary to have recourse to secure devices, implementing a data encryption (signature) process, so-called "qualified" certificates and an authority, called "certification service provider" in the directive. , which will be called hereinafter "certification authority". The certification authority notably generates a public key used in the aforementioned process by smart cards.
En effet, de façon pratique, des procédés de cryptographie asymétriques doivent être utilisés. Selon ces procédés, il est mis en œuvre une clé de signature privée, c'est-à-dire secrète, détenue par le signataire, et une clé publique de vérification de signature. En réalité, dans les applications à base de carte à puce, la clé privée est enregistrée dans une zone de mémoire non-volatile des cartes à puce du signataire, mémoire de type "ROM", "EEPROM" ou équivalent.Indeed, in practical terms, asymmetric cryptographic methods must be used. According to these methods, a private, that is to say secret, signature key is held by the signatory, and a public signature verification key. In reality, in smart card-based applications, the private key is stored in a non-volatile memory area of the signatory's smart cards, memory type "ROM", "EEPROM" or equivalent.
Les procédés de cryptographie asymétriques sont réputés non répudiables car le vérificateur de la signature, du fait des caractéristiques inhérentes à ces procédés, ne sait pas signer.Asymmetric cryptographic processes are deemed to be non-repudable because the signature verifier, due to the characteristics inherent in these processes, does not know how to sign.
Pour fixer les idées, un exemple de procédé de cryptographie asymétrique bien connu et largement utilisé est constitué par le procédé dit "RSA" (du nom de ses inventeurs Rivest, Shamir et Adleman). Une description de ce procédé peut être trouvée dans le brevet US-A-4405829. Bien qu'efficaces, les procédés de cryptographie asymétriques ne sont pas pour autant dépourvus d'inconvénients. Ils sont en effet délicats et coûteux à mettre en œuvre. En premier lieu, il nécessaire de gérer et générer autant de paires de clés privée/publique qu'il y a d'utilisateurs à doter de cet instrument de signature électronique.To fix the ideas, an example of a well known and widely used asymmetric cryptography method is constituted by the so-called "RSA" method (from the name of its inventors Rivest, Shamir and Adleman). A description of this process can be found in US-A-4405829. Although effective, asymmetric cryptographic methods are not without drawbacks. They are indeed delicate and costly to implement. First, it is necessary to manage and generate as many pairs of private / public keys as there are users to provide with this electronic signature instrument.
En second lieu, la cryptographie asymétrique nécessite des ressources informatiques non négligeables, du moins par rapport à celles habituellement offertes par une puce électronique. Il est notamment nécessaire de prévoir un co-processeur arithmétique pour effectuer les calculs de chiffrement/déchiffrement.Second, asymmetric cryptography requires significant IT resources, at least compared to those usually offered by an electronic chip. It is in particular necessary to provide an arithmetic co-processor to carry out the encryption / decryption calculations.
Il s'ensuit que le coût de puces électroniques dotées de la puissance de calcul nécessaire à la cryptographie asymétrique est sensiblement plus élevé que les puces traditionnelles utilisées à ce jour par l'ensemble des autres applications. Or, les considérations de coût, pour un composant de très grande diffusion, sont primordiales.It follows that the cost of electronic chips with the computing power necessary for asymmetric cryptography is significantly higher than the traditional chips used to date by all other applications. However, cost considerations, for a very widely distributed component, are essential.
On pourrait penser avoir recours à des procédés de cryptographie symétrique, moins exigeants en ressources informatiques. Cependant ces derniers, de par leurs caractéristiques propres, ne peuvent garantir la condition de "non repudiabilite" recherchée, car le vérificateur de la signature peut également signer, puisqu'il se trouve a priori dans les mêmes conditions que le signataire. L'invention vise à pallier les inconvénients des procédés et dispositifs de l'art connu, dont certains viennent d'être rappelés, tout en satisfaisant aux besoins qui se font sentir.One could think of having recourse to symmetric cryptographic methods, less demanding in computing resources. However, the latter, by their own characteristics, cannot guarantee the condition of "non-repudiability" sought, because the signature verifier can also sign, since it is a priori in the same conditions as the signatory. The invention aims to overcome the drawbacks of the methods and devices of the known art, some of which have just been mentioned, while satisfying the needs which are felt.
L'invention se fixe pour but un procédé de génération de signatures non répudiables, spécialement adapté à des applications mettant en œuvre des terminaux légers tels des systèmes embarqués à puce électronique, et plus particulièrement des cartes à puce, dont l'une des caractéristiques est d'offrir des ressources informatiques limitées.The object of the invention is to provide a method for generating non-repudable signatures, specially adapted to applications using light terminals such as on-board electronic chip systems, and more particularly chip cards, one of the characteristics of which is offer limited IT resources.
Pour ce faire, selon une caractéristique avantageuse, le procédé selon l'invention associe la cryptographie symétrique à la cryptographie asymétrique statique, étant entendu que les opérations mettant en œuvre ce dernier procédé ne sont pas effectuées dans le terminal embarqué. Il s'ensuit qu'il n'est pas nécessaire de doter celui-ci d'une puissance de calcul accrue, notamment d'y implanter un co-processeur mathématique.To do this, according to an advantageous characteristic, the method according to the invention associates symmetric cryptography with asymmetric static cryptography, it being understood that the operations implementing this latter method are not carried out in the on-board terminal. he It follows that it is not necessary to provide it with increased computing power, in particular to install a mathematical co-processor.
Dans un premier mode de réalisation de l'invention, le procédé comprend une phase préliminaire comportant les étapes principales 5 suivantes :In a first embodiment of the invention, the method comprises a preliminary phase comprising the following main steps:
1. On dote toutes les cartes à puce de deux paires de clés de signature dites "mères", les deux paires de clés étant identiques pour toutes les cartes à puce.1. All smart cards are provided with two pairs of so-called "mother" signature keys, the two pairs of keys being identical for all smart cards.
2. Chacune des cartes à puce reçoit également deux clés diversifiées w propres à chaque carte à puce, calculées à partir de ces paires de clés "mères " et d'un identifiant propre à la carte à puce en question (et/ou de toute autre information identifiant le porteur) et contenu dans celle-ci. Le calcul des clés diversifiées est effectué en ayant recours à un procédé de cryptographie symétrique, de préférence, 15 mais non exclusivement, en faisant appel au procédé dit "triple DES"2. Each smart card also receives two diversified w keys specific to each smart card, calculated from these pairs of "mother" keys and an identifier specific to the smart card in question (and / or any other information identifying the carrier) and contained therein. The calculation of the diversified keys is carried out by using a symmetric cryptographic method, preferably, but not exclusively, by using the so-called "triple DES" method.
(pour "Data Encryption Standard").(for "Data Encryption Standard").
3. L'identifiant (et éventuellement d'autres informations) de la carte à puce, est(sont) certifié(s) par une clé privée (c'est-à-dire secrète) détenue par une autorité dite de "certification". Ce certificat3. The identifier (and possibly other information) of the smart card is (are) certified by a private (ie secret) key held by an authority known as "certification" . This certificate
20 accompagne l'identifiant dans la carte à puce et constitue20 accompanies the identifier in the smart card and constitutes
"l'habilitation à signer" du porteur de la carte à puce. Le certificat est calculé en ayant recours à un procédé de cryptographie de type asymétrique, de préférence le procédé dit "RSA" précité. Il doit cependant bien être compris que les calculs nécessaires sont"authorization to sign" for the holder of the smart card. The certificate is calculated by using an asymmetric type of cryptography process, preferably the so-called "RSA" process mentioned above. It should however be understood that the necessary calculations are
25 effectués par l'autorité de certification, qui peut disposer de moyens informatiques puissants et non par la carte à puce. De façon plus précise, le certificat est calculé à partir des données d'identification de la carte à puce et/ou de son porteur à l'aide d'une clé privée, cette dernière étant propriété de l'autorité de certification.25 carried out by the certification authority, which can have powerful IT resources and not by smart card. More specifically, the certificate is calculated from the identification data of the smart card and / or of its holder using a private key, the latter being the property of the certification authority.
30 Dans les applications à base de cartes à puce, cette phase préliminaire est habituellement réalisée lors de l'opération dite de "personnalisation" des cartes à puce. La clé publique de certification est disponible pour le contrôle des certificats par l'autorité de certification et pour le contrôle par chacun des possesseurs d'un instrument de signature. Ce peut être, dans une première variante de réalisation, l'ensemble des usagers possesseurs d'une carte à puce, ou, dans une seconde variante de réalisation, seulement les usagers appartenant à un même groupe. Dans ce dernier cas, la population des usagers est scindée en au moins deux groupes distincts.In applications based on smart cards, this preliminary phase is usually carried out during the so-called "personalization" operation of smart cards. The public certification key is available for the control of certificates by the certification authority and for the control by each of the owners of a signature instrument. It can be, in a first variant, all users with a smart card, or, in a second variant, only users belonging to the same group. In the latter case, the user population is split into at least two distinct groups.
L'algorithme "DES" précité a été publié en 1977 par un organisme officiel américain, le "NBS" ("National Bureau of Standards"). A titre d'exemple, une description de cet algorithme peut être trouvée dans l'article de Jean-Pierre TUAL, intitulé "Cryptographie", paru dans "Les Techniques de l'Ingénieur", volume H2, pages 248-1 à 248-29.The aforementioned "DES" algorithm was published in 1977 by an official American body, the "NBS" ("National Bureau of Standards"). As an example, a description of this algorithm can be found in the article by Jean-Pierre TUAL, entitled "Cryptography", published in "The Engineering Techniques", volume H2, pages 248-1 to 248- 29.
De même, un exemple de mise en œuvre de certificats est décrit dans l'article de Gérard RIBIERE, intitulé "Certification électronique et sécurité", paru "Les Techniques de l'Ingénieur", volume H2, pages 258-1 à 258-11.Similarly, an example of the implementation of certificates is described in the article by Gérard RIBIERE, entitled "Electronic and security certification", published "Les Techniques de l'Ingénieur", volume H2, pages 258-1 to 258-11 .
Les étapes ultérieures, que l'on pourra qualifier d'opérationnelles, comprennent au moins la génération d'une signature lors de l'émission d'un message ou plus généralement d'un document électronique par l'un des possesseurs de carte à puce, que l'on appellera signataire.The subsequent steps, which can be described as operational, include at least the generation of a signature when a message or more generally of an electronic document is sent by one of the smart card owners. , which we will call signatory.
Le calcul de la signature est réalisé par un chiffrement des données à transmettre à l'aide des clés diversifiées précitées, en faisant appel à un algorithme de cryptographie symétrique, de préférence le triple "DES" comme indiqué précédemment. La reconstitution et la vérification de la signature, s'effectuent par une opération identique au chiffrement, par un ou plusieurs destinataires, à l'aide des clés diversifiées du signataire, reconstituées par le ou les destinataires(s), et du même algorithme symétrique. Le signataire transmet également son certificat et les données d'identification ayant servies à le calculer à l'étape 3.) de la phase préliminaire. Ce certificat est vérifié par le ou les destinataire(s) à l'aide de la clé publique précitée. Il est fait appel à un algorithme asymétrique. Les calculs nécessaires peuvent être effectués par un terminal hôte de la carte à puce. Selon un deuxième mode de réalisation du procédé selon l'invention, celui-ci comprend également l'essentiel des étapes de la phase préliminaire. Cependant, l'une des deux clés diversifiées est obtenue à partir d'une des deux paires de clés "maître" et de données d'identification d'un destinataire, et non plus de l'émetteur comme dans la première variante. Selon cette variante, seul ce destinataire est alors en mesure de vérifier la signature de l'émetteur. A cette exception près, la vérification s'effectue de la même manière que précédemment.The signature is calculated by encrypting the data to be transmitted using the aforementioned diversified keys, using a symmetric cryptographic algorithm, preferably the triple "DES" as indicated above. Reconstitution and verification of the signature is carried out by an operation identical to encryption, by one or more recipients, using the diversified keys of the signatory, reconstituted by the recipient (s), and using the same symmetric algorithm. . The signatory also transmits his certificate and the identification data used to calculate it in step 3.) of the preliminary phase. This certificate is verified by the recipient (s) using the aforementioned public key. An asymmetric algorithm is used. The necessary calculations can be carried out by a host terminal of the smart card. According to a second embodiment of the method according to the invention, it also includes most of the steps of the preliminary phase. However, one of the two diversified keys is obtained from one of the two pairs of "master" keys and identification data of a recipient, and no longer of the sender as in the first variant. According to this variant, only this recipient is then able to verify the signature of the issuer. With this exception, the verification is carried out in the same manner as above.
On constate que, dans ces deux modes de réalisation, toutes les cartes à puce possèdent les deux paires de clés mères, ce qui peut présenter une faiblesse d'un point de vue sécurité.It can be seen that, in these two embodiments, all the smart cards have the two pairs of mother keys, which can be weak from a security point of view.
Aussi, dans une variante préférée, compatible avec les deux modes de réalisation, de manière à augmenter la robustesse du procédé, on ajoute dans chacune des cartes à puce une paire de clés diversifiées issues de la diversification de deux paires de clés d'authentification appartenant à l'autorité de certification. Cette opération est réalisée lors d'une étape supplémentaire de la phase préliminaire. Le calcul des clés de chaque carte à puce est effectué en faisant appel à un algorithme symétrique et à un identifiant propre à cette carte à puce. Comme précédemment, l'algorithme symétrique est préférentiellement un triple "DES". A partir des clés diversifiées résidentes dans la carte à puce et de la signature précédemment générée, en faisant appel à un algorithme symétrique, la carte à puce génère des données supplémentaires que l'on appellera ci- après "données d'authentification de signature". Ces données sont également transmises au(x) destinataire(s). Ce (ces) demier(s) peu(ven)t les soumettre à l'autorité de certification qui peut à son tour les authentifier par retour.Also, in a preferred variant, compatible with the two embodiments, so as to increase the robustness of the method, a pair of diversified keys is added to each of the smart cards resulting from the diversification of two pairs of authentication keys belonging to the certification authority. This operation is carried out during an additional stage of the preliminary phase. The keys of each smart card are calculated using a symmetric algorithm and an identifier specific to this smart card. As before, the symmetric algorithm is preferably a triple "DES". From the diversified keys resident in the smart card and the previously generated signature, using a symmetric algorithm, the smart card generates additional data which will be called hereinafter "signature authentication data" . This data is also transmitted to the recipient (s). This (these) last (s) little (come) submit them to the certification authority which can in turn authenticate them by return.
Dans une variante de réalisation préférée encore, on prévoit avantageusement un compteur de génération de signatures utilisé pour sécuriser la génération de signature et assurer la traçabilité, par exemple pour détecter des signatures différentes portant le même numéro. Les compteurs sont également résidents dans les cartes à puce et peuvent servir optionnellement à l'initialisation de toute signature de données. L'invention a donc pour objet principal un procédé de génération de signature non-répudiable par une première entité d'un ensemble, notamment par un système embarqué à puce électronique comportant au moins des moyens de mémoire non-volatile et des moyens de calcul, ladite signature étant destinée à être diffusée et vérifiée par au moins l'une desdites entités de l'ensemble, caractérisé en ce qu'il comprend une phase préliminaire comportant au moins les étapes suivantes : le stockage dans lesdits moyens de mémoire non-volatile de deux paires de clés de signature dites "mères", communes à toutes lesdites entités ; la génération, à partir d'au moins une desdites paires de clés de signature "mères" et d'un identifiant unique, propre à ladite première entité, d'une première clé de signature dite "diversifiée", par application d'un algorithme de cryptographie symétrique et le stockage de ladite clé diversifiée dans lesdits moyens de mémoire non-volatile ; le stockage dudit identifiant unique dans lesdits moyens de mémoire non-volatile ; la génération par une entité supplémentaire dite "autorité de certification" d'un certificat constituant une habilitation à signer pour ladite première entité, ledit certificat étant obtenu à partir d'au moins ledit identifiant et d'une clé privée de chiffrement détenue par ladite autorité de certification, par application d'un algorithme de cryptographie asymétrique, et le stockage dudit certificat dans lesdits moyens de mémoire non-volatile ; et - la distribution, par ladite autorité de certification, d'une clé publique de vérification de signature à tout ou partie desdites entités de l'ensemble, et une phase subséquente comprenant au moins les étapes suivantes : - la génération de ladite signature non-répudiable à partir de ladite première clé de signature diversifiée, d'une deuxième clé de signature diversifiée et de données à transmettre destinées à au moins une desdites entités de l'ensemble, par application d'un algorithme de cryptage symétrique ; et la diffusion à destination d'au moins l'une desdites entités de l'ensemble d'au moins desdites données, de ladite signature, dudit identifiant et dudit certificat.In a further preferred embodiment, there is advantageously provided a signature generation counter used to secure the generation of signatures and ensure traceability, for example to detect different signatures bearing the same number. The meters are also resident in smart cards and can optionally be used for the initialization of any data signature. The main object of the invention is therefore a method of generating a signature which cannot be repudiated by a first entity of a set, in particular by an on-board system with an electronic chip comprising at least non-volatile memory means and calculation means, said signature being intended to be disseminated and verified by at least one of said entities of the set, characterized in that it comprises a preliminary phase comprising at least the following steps: the storage in said non-volatile memory means of two pairs of so-called "mother" signature keys, common to all of said entities; generation, from at least one of said pairs of "mother" signature keys and a unique identifier, specific to said first entity, of a first so-called "diversified" signature key, by application of an algorithm symmetric cryptography and the storage of said diversified key in said non-volatile memory means; storing said unique identifier in said non-volatile memory means; the generation by an additional entity called "certification authority" of a certificate constituting an authorization to sign for said first entity, said certificate being obtained from at least said identifier and from a private encryption key held by said authority certification, by applying an asymmetric cryptography algorithm, and storing said certificate in said non-volatile memory means; and - the distribution, by said certification authority, of a public signature verification key to all or part of said entities of the set, and a subsequent phase comprising at least the following steps: - the generation of said non-signature repudiable from said first diversified signature key, from a second diversified signature key and from data to be transmitted intended for at least one said entities of the set, by application of a symmetric encryption algorithm; and the distribution to at least one of said entities of the set of at least said data, said signature, said identifier and said certificate.
L'invention a encore pour objet un système embarqué à puce électronique pour la mise en œuvre de ce procédé, notamment une carte à puce.The invention also relates to an on-board electronic chip system for implementing this method, in particular a smart card.
L'invention va maintenant être décrite de façon plus détaillée en se référant aux dessins annexés, parmi lesquels : la figure 1 illustre schématiquement l'architecture d'une carte à puce pour la génération d'une signature non répudiable selon l'invention ;The invention will now be described in more detail with reference to the accompanying drawings, among which: FIG. 1 schematically illustrates the architecture of a smart card for generating a non-repudiable signature according to the invention;
La figure 2 illustre schématiquement la génération d'une clé de signature dite diversifiée pour la carte à puce de la figure 1 à partir d'une paire de clés de signature dites "mères" et d'un identifiant de la carte à puce ; la figure 3 illustre schématiquement le processus de génération d'une signature non répudiable selon un premier mode de réalisation du procédé selon l'invention ; la figure 4 illustre schématiquement le processus de génération de clés dites d'authentification de signature par une entité dite autorité de certification ; la figure 5 illustre schématiquement le processus de génération d'une signature non répudiable selon un deuxième mode de réalisation du procédé selon l'invention ; la figure 6 illustre le processus de génération de données dites d'authentification à partir des clés d'authentification et de la signature précitée ; - la figure 7 illustre schématiquement les différentes données transmises par une carte à puce signataire ; la figure 8 illustre schématiquement l'étape de vérification d'une signature générée selon le premier mode de génération de signatures non répudiables ;FIG. 2 schematically illustrates the generation of a so-called diversified signature key for the smart card of FIG. 1 from a pair of so-called "mother" signature keys and an identifier of the smart card; FIG. 3 schematically illustrates the process for generating a non-repudiable signature according to a first embodiment of the method according to the invention; FIG. 4 schematically illustrates the process of generating so-called signature authentication keys by an entity called the certification authority; FIG. 5 schematically illustrates the process for generating a non-repudiable signature according to a second embodiment of the method according to the invention; FIG. 6 illustrates the process of generating so-called authentication data from the aforementioned authentication keys and signature; - Figure 7 schematically illustrates the different data transmitted by a signatory smart card; FIG. 8 schematically illustrates the step of verifying a signature generated according to the first mode of generation of non-repuditable signatures;
- la figure 9 illustre schématiquement l'étape de vérification d'une signature générée selon le deuxième mode de génération de signatures non répudiables ; et- Figure 9 schematically illustrates the step of verifying a signature generated according to the second mode of generation of non-repudable signatures; and
- la figure 10 illustre schématiquement le processus d'authentification par l'autorité précité de certification d'une signature générée par une carte à puce. On va maintenant décrire de façon plus détaillée un exemple de réalisation préférée de procédé de génération de signatures non répudiables selon l'invention, selon plusieurs variantes.- Figure 10 schematically illustrates the authentication process by the aforementioned certification authority of a signature generated by a smart card. We will now describe in more detail a preferred embodiment of a method for generating non-repudable signatures according to the invention, according to several variants.
Comme il a été indiqué, pour fixer les idées, sans limiter en quoi que ce soit la portée de l'invention, on se placera dans le cas d'une application à base de cartes à puce. La puce électronique de cette dernière comprend, de façon habituelle, des moyens de calcul, comprenant par exemple un microprocesseur, et des moyens de mémoire, vive et non-volatile. Une telle architecture est bien connue de l'homme de métier et il est inutile de la décrire plus avant. La figure 1 illustre schématiquement l'architecture d'une carte à puce CP„ i étant un indice arbitraire repérant une des cartes à puce d'un ensemble de n cartes à puce CPi à CPn (non représenté). Sur la figure 1 , seule la mémoire non-volatile, repérée M, a été représentée. Il peut s'agir d'une mémoire de type "ROM" ("Read-Only Memory", à lecture seule), d'une mémoire de type "EEPROM" (Electrically Erasable Programmable Read Only Memory", à lecture seule, mais re-progrâmmable) ou de toute autre mémoire d'un type similaire.As has been indicated, to fix the ideas, without limiting in any way the scope of the invention, we will place ourselves in the case of an application based on smart cards. The latter's electronic chip usually comprises calculation means, comprising for example a microprocessor, and memory means, both live and non-volatile. Such architecture is well known to those skilled in the art and there is no need to describe it further. FIG. 1 schematically illustrates the architecture of a smart card CP „i being an arbitrary index identifying one of the smart cards of a set of n smart cards CPi to CP n (not shown). In FIG. 1, only the non-volatile memory, marked M, has been represented. It can be a memory of type "ROM"("Read-OnlyMemory", read only), a memory of type "EEPROM" (Electrically Erasable Programmable Read Only Memory ", but re-programmable) or any other memory of a similar type.
Lors d'une phase préliminaire, avantageusement lors de la phase dite de "personnalisation" de la carte à puce CP„ on enregistre, dans des positions de mémoire prédéterminées, M|, M2, M4 et Λ , respectivement dans l'exemple décrit, deux paires de clés dites "mères", MKS^ et MKSπ, d'une part, et
Figure imgf000012_0001
et M S22, d'autre part. Ces clés "mères" sont communes à toutes les cartes à puce, CP-i à CPn. Selon une première variante de réalisation du procédé conforme à l'invention, un usager Uj, c'est-à-dire le porteur de la carte à puce CPh signe un message ou des données transmises. Tous les autres usagers peuvent vérifier cette signature. Pour ce faire, deux clés diversifiées, dKS^ et dKSz^, respectivement, sont calculées et enregistrées dans des positions de mémoires, et M6, par exemple. Ce calcul, réalisé à l'extérieur de la carte à puce CPj, met en œuvre un algorithme symétrique. De façon préférentielle, il s'agit d'un triple "DES". On supposera d'ailleurs ci-après, à chaque fois que l'on aura recours à un algorithme symétrique, qu'il s'agit également du triple "DES", que l'on notera ci-après "T-DES" par simplification.
During a preliminary phase, advantageously during the so-called "personalization" phase of the chip card CP „, M |, M 2 , M 4 and Λ are recorded in predetermined memory positions, respectively in the example. describes, two pairs of so-called "mother" keys, MKS ^ and MKSπ, on the one hand, and
Figure imgf000012_0001
and MS 22 , on the other hand. These "mother" keys are common to all smart cards, CP-i to CP n . According to a first alternative embodiment of the method according to the invention, a user Uj, that is to say the holder of the chip card CP h, signs a message or transmitted data. All other users can verify this signature. To do this, two diversified keys, dKS ^ and dKSz ^, respectively, are calculated and stored in memory positions, and M 6 , for example. This calculation, performed outside the smart card CPj, implements a symmetric algorithm. Preferably, it is a triple "DES". We will also assume below, each time we use a symmetric algorithm, that it is also the triple "DES", which we will denote below "T-DES" by simplification.
La figure 2 illustre schématiquement le calcul de la clé dKS^. Le triple "DES", référencé 1 , comprend trois étages en cascade 10 à 12. A titre d'exemple, les étages 10 et 12 réalisent un "DES" dit "direct". La clé de signature utilisée pour ces deux étages est, toujours dans l'exemple, la clé S11. L'étage intermédiaire 11 réalise un "DES" dit inverse, que l'on notera "DES'1". La clé de signature utilisée pour cet étage est la clé Λ- S12. En entrée du premier étage 10, on injecte une donnée d'identification ID,- de la carte à puce CPj et/ou de son porteur U,- (figure 1). Cette donnée d'identification ID,- peut être unique ou issue de plusieurs données distinctes, par exemple concaténées, avec éventuellement des données de remplissage pour obtenir un mot binaire de longueur prédéterminée. Sur la figure 1 , on a représenté deux sources de données d'identification, notées Info et Div (numéro de la carte à puce CPh etc.). Ces données sont également résidentes dans la carte à puce CP,- et, dans l'exemple illustré, enregistrées dans les positions M7 et M8 de la mémoire M.Figure 2 schematically illustrates the calculation of the dKS ^ key. The triple "DES", referenced 1, comprises three stages in cascade 10 to 12. For example, stages 10 and 12 carry out a "DES" called "direct". The signature key used for these two stages is, again in the example, the key S 11 . The intermediate stage 11 performs a so-called reverse "DES", which will be denoted "DES '1 ". The signature key used for this stage is the key Λ- S 1 2. At the input of the first stage 10, an identification data ID is injected, - from the chip card CPj and / or from its bearer U, - ( figure 1). This identification data ID, - can be unique or from several separate data, for example concatenated, with possibly filling data to obtain a binary word of predetermined length. In FIG. 1, two sources of identification data have been shown, denoted Info and Div (number of the smart card CP h, etc.). These data are also resident in the smart card CP, - and, in the example illustrated, recorded in the positions M 7 and M 8 of the memory M.
La sortie de l'étage 10 est transmise à l'entrée de l'étage 11 et la sortie de l'étage 11 est transmise à l'entrée de l'étage 12. Finalement, en sortie de l'étage 12, on obtient la clé diversifiée dKS ^, propre à la carte à puce CP/, clé diversifiée enregistrée dans la position de mémoire M3 comme il a été indiqué. Les calculs s'effectuent en milieu sécurisé, par exemple par une entité que l'on appellera "l'encarteur", en dehors de la carte à puce CP,. Le module 1 pour la mise en œuvre du "T-DES" peut être indifféremment de type "matériel" (circuits spécialisés) ou faire appel à un logiciel. La clé dKS2(i) est obtenue de façon identique et il est inutile de redécrire le processus.The output of stage 10 is transmitted to the entrance of stage 11 and the output of stage 11 is transmitted to the entrance of stage 12. Finally, at the exit of stage 12, we obtain the diversified key dKS ^, specific to the chip card CP / , diversified key recorded in the memory position M 3 as indicated. The calculations are carried out in a secure environment, for example by an entity that will be called "the inserter", outside of the chip card CP ,. Module 1 for the implementation of "T-DES" can either be of the "hardware" type (specialized circuits) or use software. The dKS 2 (i ) key is obtained identically and there is no need to rewrite the process.
Si on se réfère de nouveau à la figure 1, outre ces différentes données, un certificat CTA, est calculé par une autorité dite de certification CA. Pour ce faire, cette dernière entité CA met en œuvre, selon un des aspects du procédé selon l'invention, un algorithme asymétrique, référencé 2, préférentiellement l'algorithme "RSA" précité. Des données d'identification ID, de la carte à puce CP,- sont chiffrées à l'aide d'une clé privée, propriété de l'autorité de certification CA, que l'on notera KA.If we refer again to FIG. 1, in addition to these various data, a CTA certificate is calculated by a so-called CA certification authority. To do this, this last entity CA implements, according to one aspect of the method according to the invention, an asymmetric algorithm, referenced 2, preferably the aforementioned "RSA" algorithm. Identification data ID, of the smart card CP, are encrypted using a private key, property of the certification authority CA, which will be noted KA.
Dans l'exemple illustré par la figure 1 , le résultat de l'opération de chiffrement, c'est-à-dire le certificat CTA,- est enregistré dans la position de mémoire M9.In the example illustrated by FIG. 1, the result of the encryption operation, that is to say the CTA certificate, is recorded in the memory position M 9 .
L'autorité de certification CA distribue également une clé publique de vérification de signature, associée à la clé privée KA et que l'on appellera ci-après Kp, à toutes les cartes à puce. On a supposé, jusqu'à ce point de la description, que tous les usagers U,- possesseurs d'une carte à puce CP, faisait partie d'un seul et unique groupe, et donc que la clé publique Kp était mise à la disposition de tous ces usagers U,-. Selon une autre variante du mode de réalisation du procédé, il est possible de scinder l'ensemble de ces usagers en au moins deux groupes (non représentés). Chaque groupe aura donc à sa disposition une clé publique distincte de celle des autres groupes : Cp1, Kpz, ...,Kpm, si on suppose que m est le nombre de groupes distincts.The CA certification authority also distributes a public signature verification key, associated with the private key K A and which will be called Kp below, to all the smart cards. It has been assumed, up to this point in the description, that all the users U, - possessors of a chip card CP, were part of a single group, and therefore that the public key Kp was set to available to all these users U, -. According to another variant of the embodiment of the method, it is possible to divide all of these users into at least two groups (not shown). Each group will therefore have at its disposal a public key distinct from that of the other groups: C p1 , Kpz, ..., K pm , if we assume that m is the number of distinct groups.
La figure 3 illustre schématiquement la génération d'une signature, référencée SIGNj, par la carte à puce CP,. On suppose que le porteur U,- de la carte CP,- veuille envoyer un message MSG qui doit être signé. Pour ce faire, le message MSG élaboré par des moyens de traitement de données connus, par exemple le terminal hôte T de la carte à puce CP„ est transmis en entrée d'un "T-DES", référencé 3, ou de tout autre algorithme symétrique similaire. De façon connue en soi, le message MSG peut être soumis au préalable à une opération dite de "hachage" ("hashing"). L'architecture logique de ce "T-DES" 3 est identique ou pour le moins tout à fait similaire à celle décrite en regard de la figure 2. La clé utilisée pour les étages "DES" directs est, par exemple, la clé
Figure imgf000015_0001
et la clé utilisée pour l'étage "DES"1" est la clé dKS2(i). Puisqu'il s'agit d'un algorithme symétrique, il n'est pas nécessaire de disposer de moyens de calcul puissants. Le calcul de la signature peut donc s'effectuer avantageusement à l'intérieur de la carte à puce CP„ à l'aide des moyens de calculs standards dont elle dispose (non représentés). Il s'ensuit que, bien que pour des raisons de clarté du dessin, les moyens de calcul 3 aient été représentés sur la figure à l'extérieur de la carte à puce CP,-, on doit bien comprendre qu'ils sont préférentiellement implantés dans la puce électronique de celle-ci. De façon pratique, il ne s'agit pas habituellement de circuits spécifiques. On préfère effectuer le calcul de la signature SIGN,- à l'aide d'un logiciel, enregistré dans la mémoire M, coopérant avec les moyens de calcul standards précités.
FIG. 3 schematically illustrates the generation of a signature, referenced SIGNj, by the smart card CP ,. It is assumed that the bearer U, - of the card CP, - wants to send a message MSG which must be signed. To do this, the message MSG produced by known data processing means, for example the host terminal T of the smart card CP „is transmitted at the input of a" T-DES ", referenced 3, or any other similar symmetric algorithm. In a manner known per se, the MSG message can be subjected beforehand to a so-called "hashing" operation. The logical architecture of this "T-DES" 3 is identical or at least quite similar to that described with regard to FIG. 2. The key used for the direct "DES" stages is, for example, the key
Figure imgf000015_0001
and the key used for the stage "DES " 1 "is the key dKS 2 ( i ) . Since it is a symmetric algorithm, it is not necessary to have powerful means of calculation. the signature can therefore advantageously be carried out inside the chip card CP „using the standard calculation means at its disposal (not shown). It follows that, although for reasons of clarity in the drawing, the calculation means 3 have been shown in the figure on the outside of the chip card CP, -, it should be understood that they are preferably installed in the electronic chip thereof. these are not usually specific circuits, but it is preferable to calculate the signature SIGN, using software, stored in memory M, cooperating with the abovementioned standard calculation means.
On constate que les clés diversifiées, dKS^ et dKS^, c'est-à-dire le secret propre à chacune des cartes à puce CP,, ne sont pas dévoilées au monde extérieur. Cependant, toutes les cartes à puce CP, possèdent les deux paires de clés de signature sous leur forme dite "mère". Si on arrive à "casser" ces clés, la sécurité globale du procédé est mise en péril. Aussi, pour "durcir" le procédé vis-à-vis d'attaques extérieures, on ajoute dans chacune des cartes à puce CP,- une paire de clés de signature diversifiées supplémentaires, que l'on notera dKSA^ et ûf S-42(,), respectivement. Ces clés sont elles-mêmes issues de la diversification de deux paires de clés d'authentification de signature appartenant à l'autorité de certification CAIt can be seen that the diversified keys, dKS ^ and dKS ^, that is to say the secret specific to each of the smart cards CP ,, are not revealed to the outside world. However, all CP smart cards have the two pairs of signature keys in their so-called "mother" form. If these keys are "broken", the overall security of the process is jeopardized. Also, to "harden" the process vis-à-vis external attacks, we add in each of the chip cards CP, - a pair of additional diversified signature keys, which we will note dKSA ^ and ûf S-4 2 (,), respectively. These keys are themselves derived from the diversification of two pairs of signature authentication keys belonging to the CA certification authority.
(figure 1). On explicitera ci-après, de façon plus détaillée, l'utilité de ces clés.(figure 1). The usefulness of these keys will be explained in more detail below.
La figure 4 illustre schématiquement le processus de génération des clés diversifiées supplémentaires, dKSA^ et dKSA2(, Les paires de clés dites "d'authentification de signature", MKSA et MKSA^, MKSA21 et MKSA22, respectivement, sont transmises aux entrées de clé de modules mettant en œuvre un algorithme symétrique, préférentiellement un "T-DES", notés l' et 1". En entrée de données, on injecte un identifiant ID,- caractérisant la carte à puce CP,. Le processus de calcul des clés dKSA^ et dKSA2{i) est identique, ou pour le moins tout à fait similaire à celui (figure 2 : 1) ayant permis de calculer les clés diversifiées dKS^ et dKS^. On peut 5 utiliser d'ailleurs les mêmes circuits, s'il s'agit de circuits électroniques spécifiques, ou le même logiciel.Figure 4 schematically illustrates the process of generating additional diversified keys, dKSA ^ and dKSA2 (, The so-called "signature authentication key pairs", MKSA and MKSA ^, MKSA21 and MKSA22, respectively, are passed to the key entries modules implementing a symmetric algorithm, preferably a "T-DES", denoted l 'and 1 ". At the input of data, an identifier ID is injected, - characterizing the smart card CP. The process of calculating the keys dKSA ^ and dKSA 2 {i) is identical, or at the very least similar fact to that (figure 2: 1) used to calculate the diversified keys dKS ^ and dKS ^. We can also use the same circuits, if they are specific electronic circuits, or the same software .
Comme pour les clés diversifiées, -- KS^ et dKSii), le calcul est effectué lors d'une phase préliminaire, en milieu sécurisé, par exemple lors de la phase dite de "personnalisation" de la carte à puce CP,. Les résultats w des calculs, c'est-à-dire les clés d'authentification de signature dKSA^ et dKSA2(i), sont enregistrés également dans la mémoire M de la carte à puce, dans les positions /W-ι0et Mu (voir également la figure 1).As for the diversified keys, - KS ^ and dKS ii), the calculation is carried out during a preliminary phase, in a secure environment, for example during the phase called "personalization" of the smart card CP ,. The results w of the calculations, that is to say the signature authentication keys dKSA ^ and dKSA 2 ( i ) , are also recorded in the memory M of the smart card, in the positions / W-ι 0 and Mu (see also Figure 1).
Selon cette variante préférée du procédé, percer le secret d'une carte à puce CP,- devient alors aussi difficile que d'obtenir la clé privée d'uneAccording to this preferred variant of the method, uncovering the secret of a chip card CP, - then becomes as difficult as obtaining the private key of a
15 carte à puce qui serait dotée d'un algorithme de cryptographie asymétrique dynamique.15 smart card which would be equipped with a dynamic asymmetric cryptography algorithm.
Dans une variante encore du procédé de génération de signature, on prévoit avantageusement un compteur de génération de signature 4, dont la sortie est notée CGS. Le compteur 4 est utilisé pour sécuriser la 0 génération de signature et pour assurer la traçabilité (signatures différentes portant le même numéro). Si on se reporte de nouveau à la figure 3, on constate que la sortie CGS est transmise à l'entrée de données du "T-DES" 3. De façon pratique, il s'agit d'un mot binaire qui peut être concaténé avec le message à signer MSG. Ce compteur 4 est également implanté dans laIn another variant of the signature generation method, a signature generation counter 4 is advantageously provided, the output of which is denoted CGS. Counter 4 is used to secure the 0 generation of signatures and to ensure traceability (different signatures with the same number). If we refer again to Figure 3, we see that the CGS output is transmitted to the data input of "T-DES" 3. In practical terms, it is a binary word which can be concatenated with the message to sign MSG. This counter 4 is also installed in the
25 carte à puce CPj et sert optionnellement à initialiser toute signature de données. Il peut s'agir d'un composant matériel, appartenant par exemple aux circuits des moyens de calcul de la puce électronique de la carte à puce CPj. Le comptage (mot CGS) peut également être obtenu par des moyens logiciels.25 smart card CPj and optionally serves to initialize any signature of data. It may be a hardware component, for example belonging to the circuits of the calculation means of the electronic chip of the chip card CPj. Counting (word CGS) can also be obtained by software means.
30 On va maintenant décrire schématiquement un deuxième mode de réalisation du procédé de génération de signature par référence à la figure 5. Selon ce mode de réalisation, une des clés diversifiées, par exemple la clé, référencée désormais dKS'2(j), est obtenue à l'aide des données de diversification d'une autre carte à puce, du groupe auquel appartient la carte à puce CPj s'il existe plusieurs groupes distincts, par exemple les données d'identification IDj de la carte à puce CPj, et non à partir des données d'identification IDj de la carte à puce signataire CPj. A l'exception de cette caractéristique, les autres phases et étapes sont identiques à celles qui ont été décrites pour le premier mode de réalisation. Il est donc inutile de les re-décrire en entier. De même, ce mode de réalisation est compatible avec l'utilisation de clés d'authentification de signature, dKSA^ et dKSA2^, et avec l'utilisation d'un compteur de génération de signatures 4 produisant le mot CGS.We will now describe schematically a second embodiment of the signature generation method with reference to FIG. 5. According to this embodiment, one of the diversified keys, for example the key, now referenced dKS ' 2 (j), is obtained using data from diversification of another smart card, of the group to which the smart card CPj belongs if there are several distinct groups, for example the identification data ID j of the smart card CPj, and not from the data of identification IDj of the signatory smart card CPj. With the exception of this characteristic, the other phases and stages are identical to those which have been described for the first embodiment. It is therefore unnecessary to re-describe them in full. Likewise, this embodiment is compatible with the use of signature authentication keys, dKSA ^ and dKSA 2 ^, and with the use of a signature generation counter 4 producing the word CGS.
Selon ce mode de réalisation, du fait précisément de la caractéristique précitée, seul le destinataire Uj, c'est-à-dire le possesseur de la carte à puce CPj est en mesure de vérifier la signature de l'émetteur Uj, notée SIGN'j sur la figure 5. Il est intéressant de noter que cette dernière caractéristique n'est pas offerte par les procédés classiques de cryptographie asymétrique dynamique utilisés pour la génération de signatures non-répudiables selon l'art connu.According to this embodiment, precisely because of the aforementioned characteristic, only the recipient U j , that is to say the owner of the smart card CP j, is able to verify the signature of the transmitter Uj, noted SIGN'j in FIG. 5. It is interesting to note that this last characteristic is not offered by the conventional methods of dynamic asymmetric cryptography used for the generation of non-repuditable signatures according to the known art.
On suppose que, comme précédemment, la clé diversifiées dKSi(,) a été calculée et enregistrée dans la mémoire M de la carte à puce CP,. à la position M , lors de la phase préliminaire. Pour ce faire, des données d'identification IDj propres à la carte à puce CPj ont été utilisées.It is assumed that, as before, the diversified key dKSi (,) has been calculated and recorded in the memory M of the smart card CP ,. at position M, during the preliminary phase. To do this, identification data IDj specific to the smart card CPj were used.
La clé de signature diversifiée dKS'2(j) est calculée à partir de la paire de clés de signature "mères" MKSi et MKS22, comme précédemment, mais en faisant usage de l'identifiant IDj provenant de la carte à puce CPj, identifiant enregistré dans une ou plusieurs positions de la mémoire M' de celle-ci, de façon analogue à l'identifiant IDj pour la carte à puce CPj. Le calcul de la clé de signature s'effectue en faisant usage d'un "T-DES", référencé 3', recevant sur ces entrées de clé, les clés mères MKSi et MKS22, et, en entrée de données, l'identifiant IDj précité. La sortie représente la clé de signature diversifiée dKS'2(i).The diversified signature key dKS ′ 2 (j) is calculated from the pair of “mother” signature keys MKS i and MKS 22 , as before, but using the identifier ID j from the card to CPj chip, identifier recorded in one or more positions of the memory M 'thereof, in a similar manner to the identifier IDj for the chip card CPj. The calculation of the signature key is accomplished by use of a "T-DES", referenced 3 ', receiving on these key inputs, key mothers Σ i MKS and MKS 22, and in data entry, the aforementioned IDj identifier. The output represents the diversified signing key dKS ' 2 (i).
Lors de l'étape de génération de signature, référencée désormais SIGN'j, le processus mis en œuvre est identique à celui du calcul de la signature SIGNj de la figure 3. Pour ce faire, on recourt à un algorithme symétrique, de préférence l'algorithme "T-DES" (module 3), à l'exception du fait que la clé dKS'2(j) est calculée différemment, comme il vient d'être montré. En entrée de données, on injecte le message à signer MSG, et optionnellement le mot de comptage de signature CGS (compteur 4 : figure 3).During the signature generation step, now referred to as SIGN'j, the process implemented is identical to that of calculating the signature SIGNj in FIG. 3. To do this, we use an algorithm symmetrical, preferably the "T-DES" algorithm (module 3), except for the fact that the key dKS ' 2 (j) is calculated differently, as has just been shown. At data entry, the message to be signed MSG is injected, and optionally the CGS signature count word (counter 4: FIG. 3).
Dans ce mode de réalisation, il est nécessaire d'obtenir un identifiant certifié du destinataire.In this embodiment, it is necessary to obtain a certified identifier of the recipient.
Il est à noter que le calcul de signature SIGN'j est réalisé a priori dans la carte à puce CPj, de manière à ce que les clés diversifiées c//(Si(,) et dKS'2 ) restent confinées dans celle-ci. Il en est de même pour le calcul de la clé dKS'2ϋ) par le module 3'.It should be noted that the signature calculation SIGN'j is performed a priori in the smart card CPj, so that the diversified keys c // (Si (,) and dKS ' 2) remain confined in it. . It is the same for the calculation of the key dKS ' 2ϋ) by the module 3'.
Il est à noter également que, dans les deux modes de réalisation, la diversification des paires de clés mères MKS^, MKS^, MKS21, et MKS22 par l'identifiant d'une carte à puce, IDj de la carte à puce CPj par exemple, qui permettrait de retrouver les clés diversifiées est interdite. Ceci peut être obtenu simplement par des moyens matériels ou logiciels interdisant la divulgation de ces clés et leur mise en œuvre pour la génération d'une signature. Seule la signature obtenue en utilisant ces clés diversifiées peut être transmise au monde extérieur. Selon les deux modes de réalisation, il est possible de générer des données dites "d'authentification" de la signature émise. La figure 6 illustre schématiquement la génération de telles données, référencées ASIGNj pour la carte à puce CPj.It should also be noted that, in the two embodiments, the diversification of the pairs of mother keys MKS ^, MKS ^, MKS21, and MKS22 by the identifier of a smart card, IDj of the smart card CPj by example, which would allow to find the diversified keys is prohibited. This can be obtained simply by hardware or software means prohibiting the disclosure of these keys and their implementation for the generation of a signature. Only the signature obtained using these diversified keys can be transmitted to the outside world. According to the two embodiments, it is possible to generate so-called "authentication" data of the signature transmitted. FIG. 6 schematically illustrates the generation of such data, referenced ASIGNj for the smart card CPj.
Pour ce faire, on utilise les clés diversifiées supplémentaires dites d'authentification, dKSA (j) et dKSA2(i), générées de la manière explicitée en - regard de la figure 4 et qui sont enregistrées dans la mémoire M, dans les positions M10 et Mu, dans l'exemple décrit. La signature générée SIGNj est transmise à l'entrée d'un "T-DES", référencé 3". De façon optionnelle, la donnée de comptage CGS (figure 3) peut également être injectée en entrée de données, par exemple en la concaténant avec le message à signer MSG. Les clés dKSA^ et dKSA2{,) sont utilisées comme clés de signature. L'architecture logique du module 3" est identique ou pour le moins tout à fait similaire à celle du module 3 de la figure 3 utilisé pour générer la signature SIGN,. La sortie du module 3" représente les données d'authentification de signature recherchées ASIGNj. Ces données sont transmises au(x) destinataire(s) de la signature SIGNj. Comme précédemment, le calcul s'effectue à l'intérieur de la carte à puce CP, pour que les clés dKSA^ et dKSA2(i) ne sortent pas de celle-ci. En réalité, le destinataire final des données ASIGNj est l'autorité de certification CA (figures 1 ou 4). En effet, comme il le sera montré ci-après, un destinataire, par exemple Uj, qui veut faire authentifier la signature reçue SIGN et s'assurer que c'est une carte à puce valide CP, qui l'a émise, soumet les données d'authentification de signature ASIGNj à l'autorité de certification CA qui seule peut les valider puisqu'elle stocke les clés mères, MKSAn à MKSA22, qui ont servi à calculer les clés dKSA^ et dKSA2{.).To do this, additional diversified authentication keys, dKSA ( j ) and dKSA 2 (i), are used, generated in the explicit manner opposite FIG. 4 and which are stored in memory M, in the positions M 10 and Mu, in the example described. The generated signature SIGNj is transmitted to the input of a "T-DES", referenced 3 ". Optionally, the CGS counting data (FIG. 3) can also be injected as a data input, for example by concatenating it with the message to be signed MSG. The keys dKSA ^ and dKSA 2 (,) are used as signature keys. The logical architecture of module 3 "is identical or at least quite similar to that of module 3 in the figure 3 used to generate the signature SIGN ,. The output of module 3 "represents the signature authentication data sought ASIGNj. This data is transmitted to the recipient (s) of the signature SIGNj. As before, the calculation is carried out inside the card to CP chip, so that the dKSA ^ and dKSA 2 ( i ) keys do not leave it. In reality, the final recipient of the ASIGNj data is the CA certification authority (Figures 1 or 4). it will be shown below, a recipient, for example U j , who wants to authenticate the signature received SIGN and ensure that it is a valid smart card CP, which issued it, submits the data of ASIGNj signature authentication to the CA certification authority, which alone can validate them since it stores the mother keys, MKSAn to MKSA 22 , which were used to calculate the keys dKSA ^ and dKSA 2 ( .).
La figure 7 illustre schématiquement les différentes données transmises par une carte à puce signataire CPj au(x) destinataire(s), dans une variante de réalisation préférée.FIG. 7 schematically illustrates the various data transmitted by a signatory smart card CPj to the recipient (s), in a preferred variant embodiment.
Les données transmises sont les suivantes :The transmitted data are as follows:
- données ou messages signés MSG ;- MSG signed data or messages;
- données optionnelles de comptage de signature CGS ;- optional CGS signature count data;
- signature SIGNj) - identifiant IDj de la carte à puce CPj et/ou de son détenteur U,- ;- signature SIGNj) - identifier IDj of the smart card CPj and / or of its holder U, -;
- certificat CTA,, et- CTA certificate ,, and
- données d'authentification ASIGNj.- ASIGNj authentication data.
C'est à partir de toutes ces données que le ou les destinataire(s) peu(ven)t vérifier la signature SIGNj et, dans la variante préférée, l'authentifier à l'aide des données ASIGNj.It is from all this data that the addressee (s) can verify the signature SIGNj and, in the preferred variant, authenticate it using the data ASIGNj.
On va maintenant décrire l'étape de Vérification de la signature SIGNj émise par une carte à puce, par exemple la carte à puce CPj, ce selon les deux modes principaux de réalisation du procédé qui viennent d'être décrits. La figure 8 illustre schématiquement l'étape de vérification de la signature SIGNj, générée conformément au premier mode de réalisation du procédé selon l'invention, par au moins un usager Uj appartenant à un groupe donné ou à l'ensemble des usagers, s'il n'existe pas de groupes distincts. On doit rappeler que le premier mode de réalisation autorise la vérification a priori par tous les usagers, Li à Un, à l'écoute du message émis MSG et de sa signature SIGNj.We will now describe the step of Verifying the signature SIGNj sent by a smart card, for example the smart card CPj, according to the two main embodiments of the method which have just been described. FIG. 8 schematically illustrates the step of verifying the signature SIGNj, generated in accordance with the first embodiment of the method according to the invention, by at least one user Uj belonging to a given group or to all of the users, s' there are no groups distinct. It should be recalled that the first embodiment authorizes verification a priori by all users, Li to U n , listening to the message sent MSG and its signature SIGNj.
La vérification consiste à reconstituer la signature de l'émetteur et de la comparer à celle reçue. Pour fixer les idées, on considère le cas d'une carte à puce CPj recevant de la carte à puce CPj les différentes données illustrées sur la figure 7. L'architecture de la carte à puce CPj est, a priori, tout à fait semblable à celle de la carte à puce CPj, sinon identique. Celle-ci comprend notamment une mémoire non-volatile référencée M' dans laquelle sont enregistrés les deux paires de clés mères, MKSu à MKS22 (positions de mémoire M'1, M'2, M'4 et M'5), deux clés diversifiées, dKS^ et dKSQ) (positions de mémoire M'3 et M'6), secret de la carte CPj, des données d'identification IDj (Info' et Div', positions de mémoire M'7 et M'8), un certificat CTA, (position de mémoire M'9) et, dans une variante préférée, deux clés d'authentification
Figure imgf000020_0001
et ûf/ S-42(/) (positions de mémoire M'10 et M'n).
Verification consists in reconstructing the signature of the issuer and comparing it with that received. To fix the ideas, we consider the case of a smart card CPj receiving from the smart card CPj the various data illustrated in FIG. 7. The architecture of the smart card CPj is, a priori, quite similar to that of the chip card CPj, otherwise identical. This notably includes a non-volatile memory referenced M 'in which the two pairs of mother keys are stored, MKSu to MKS 22 (memory positions M' 1 , M ' 2 , M' 4 and M ' 5 ), two diversified keys, dKS ^ and dKS Q) (memory positions M ' 3 and M' 6 ), card secret CPj, identification data IDj (Info 'and Div', memory positions M ' 7 and M ' 8 ), a CTA certificate, (memory position M' 9 ) and, in a preferred variant, two authentication keys
Figure imgf000020_0001
and ûf / S-4 2 ( / ) (memory positions M'10 and M'n).
Une première clé diversifiée, référencée dKS<\ est calculée à partir des clés mères MKSu et
Figure imgf000020_0002
et de l'identifiant IDj reçu de la carte à puce CP,, en faisant appel à un algorithme symétrique, préférentiellement un "T- DES", référencé 5a. L'identifiant IDj est injecté sur l'entrée de données. Les clés mères MKSu et MKS^ sont transmises aux entrées de clés. Une deuxième clé diversifiée est calculée de la même façon à l'aide du "T-DES" 5b, à partir des clés mères M S2ι et MKS22 et également de l'identifiant reçu IDj. Les clés diversifiées calculées, dKS^ et dKS, peuvent être stockées temporairement dans des registres, 6a et Qb, ou dans des positions d'une mémoire vive (non représentée) dont est munie habituellement une carte à puce. Un troisième "T-DES", référencé 5c reçoit en entrées de clés les clés calculées précédemment et sur son entrée de données, le message MSG transmis par la carte à puce CPj, ainsi qu'éventuellement le mot de comptage de génération de signatures CGS. La donnée en sortie du module 5c, référencée SIGN, est supposée représenter la signature SIGNj émise par la carte à puce CPj. Les données correspondantes peuvent être stockées dans un registre 6c ou une position de mémoire vive. On prévoit une opération de comparaison effectuée par le module 7. Si la signature reconstituée SIGN est identique à la signature reçue SIGNj, le résultat (signal ou données sur la sortie S) est positif et cette dernière authentique. La carte à puce CPj reçoit également de la carte à puce CPj le certificat CTA, (voir figure 7). Ce dernier peut être vérifié par le module 8 à l'aide de la clé publique Kp émise par l'autorité de certification CA (figures 1 et 4). Comme il a été rappelé, la clé publique Kp est mise à la disposition de tous les utilisateurs Uj, au moins à l'intérieur d'un même groupe s'il existe plusieurs groupes distincts. Une donnée de vérification du certificat CTA, est disponible sur la sortie S1.
A first diversified key, referenced dKS < \ is calculated from the mother keys MKSu and
Figure imgf000020_0002
and of the identifier IDj received from the chip card CP ,, by using a symmetrical algorithm, preferably a "T-DES", referenced 5a. The identifier IDj is injected on the data entry. The mother keys MKSu and MKS ^ are transmitted to the key entries. A second diversified key is calculated in the same way using the "T-DES" 5b, from the mother keys MS 2 ι and MKS 22 and also from the identifier received IDj. The calculated diversified keys, dKS ^ and dKS , can be temporarily stored in registers, 6a and Qb, or in positions of a random access memory (not shown) which is usually provided with a smart card. A third "T-DES", referenced 5c receives as keys the keys previously calculated and on its data input, the message MSG transmitted by the chip card CPj, as well as possibly the counting word CGS signature generation . The data output from the module 5c, referenced SIGN, is assumed to represent the signature SIGNj sent by the smart card CPj. The corresponding data can be stored in a register 6c or a position of RAM. A comparison operation is carried out performed by the module 7. If the reconstructed signature SIGN is identical to the received signature SIGNj, the result (signal or data on the output S) is positive and the latter authentic. The chip card CP j also receives the certificate CTA, from the chip card CPj (see FIG. 7). The latter can be checked by module 8 using the public key Kp issued by the CA certification authority (Figures 1 and 4). As has been recalled, the public key Kp is made available to all the users U j , at least within the same group if there are several distinct groups. Data for verifying the CTA certificate is available on output S 1 .
Pour des raisons de clarté du dessin, les "T-DES", 5a à 5c, les registres, 6a à 6c, les organes de comparaison 7 et de vérification 8 ont été représentés à l'extérieur de la carte à puce CPj. Il va de soi que, comme précédemment, ces derniers sont implantés dans la carte à puce, les clés diversifiées et les résultats des calculs ne devant pas être divulgués au monde extérieur. Les fonctions réalisées peuvent d'ailleurs faire appel en tout ou partie à des logiciels.For reasons of clarity of the drawing, the "T-DES", 5a to 5c, the registers, 6a to 6c, the comparison members 7 and of verification 8 have been represented on the outside of the chip card CPj. It goes without saying that, as before, these are installed in the smart card, the diversified keys and the results of the calculations should not be disclosed to the outside world. The functions performed may also call in whole or in part on software.
La vérification d'une signature générée conformément au deuxième mode de réalisation du procédé selon l'invention va maintenant être décrite par référence à la figure 9. Les éléments communs aux figures précédentes, notamment à la figure 8, portent les mêmes références et ne seront redécrits qu'en tant que de besoin.The verification of a signature generated in accordance with the second embodiment of the method according to the invention will now be described with reference to FIG. 9. The elements common to the preceding figures, in particular to FIG. 8, bear the same references and will not be re-described as necessary.
Comme précédemment, une clé diversifiée, dKS^, est calculée à partir de l'identifiant IDj reçu de la carte à puce CPj. Par contre la clé diversifiée dKS2^, stockée dans la carte à puce'CP, est directement utilisée comme clé de signature. On suppose que la clé dKS2(/j a été obtenue par diversification à partir des clés mères MKS2\ et MKS22 et de l'identifiant IDj fourni par la carte à puce CPj. La clé dKS2 ) et la clé calculée dKS sont transmises aux entrées de clés du "T-DES" 5c, qui reçoit sur son entrée de données, comme précédemment, le message transmis MSG et, optionnellement, le mot de comptage de signature CSG. Le reste du processus est identique à celui décrit pour le premier mode de réalisation (figure 9), et il est inutile de le re-décrire en détail.As before, a diversified key, dKS ^, is calculated from the identifier IDj received from the smart card CPj. On the other hand, the diversified key dKS 2 ^, stored in the chip card'CP, is directly used as a signature key. It is assumed that the key dKS 2 (/ j has been obtained by diversification from the mother keys MKS 2 \ and MKS 22 and the identifier ID j provided by the smart card CPj. The key dKS 2) and the calculated key dKS are transmitted to the key inputs of the "T-DES" 5c, which receives on its data input, as before, the message transmitted MSG and, optionally, the signature count word CSG. The rest of the process is identical to that described for the first embodiment (Figure 9), and there is no need to re-describe it in detail.
Le certificat CTA, est vérifié de la même façon que précédemment.The CTA certificate is verified in the same way as before.
Dans les deux cas la signature calculée, SIGN n'est jamais délivrée au monde extérieur. Seul le résultat de la comparaison peut être divulgué.In both cases the calculated signature, SIGN is never delivered to the outside world. Only the result of the comparison can be disclosed.
En résumé de ce qui précède, puisque ni les clés diversifiées, secret de chaque carte à puce, par exemple CP,, ni les résultats des calculs de signature ne sortent des cartes à puce, il s'ensuit que le système est non répudiable. On va maintenant décrire, par référence à la figure 10, la vérification de l'authenticité de la signature SIGN,.In summary of the above, since neither the diversified keys, secret of each smart card, for example CP, nor the results of the signature calculations come out of the smart cards, it follows that the system is not repudiable. We will now describe, with reference to FIG. 10, the verification of the authenticity of the signature SIGN ,.
Tout usager Uj ayant vérifié une signature générée par un autre usager, par exemple Uj, peut soumettre à l'autorité de certification CA l'identifiant du signataire IDj, le certificat de cet identifiant CTA,, la signature SIGN, les données d'authentification ASIGNj et les données optionnelles de comptage de génération de signature CGS.Any user U j having verified a signature generated by another user, for example Uj, can submit to the certification authority CA the identifier of the signatory IDj, the certificate of this identifier CTA, the signature SIGN, the data of ASIGNj authentication and optional CGS signature generation count data.
A partir de ces données, l'autorité de certification CA recalcule, à partir des paires de clés mères MKSA à MKSA22 et du diversifiant ID,-From this data, the CA certification authority recalculates, from the pairs of mother keys MKSA to MKSA 22 and the diversifier ID, -
(après contrôle de l'identité certifiée) de la carte à puce signataire CPj et/ou de son porteur Uj, des clés diversifiées dKSA^ et dKSA^, pour contrôler les données d'authentification de signature ASIGNj.(after checking the certified identity) of the signatory smart card CPj and / or of its bearer Uj, diversified keys dKSA ^ and dKSA ^, to control the authentication authentication data ASIGNj.
Les paires de clés mères MKSA -MKSAπ, d'une part, et MKSA21- MKSA22, d'autre part, sont transmises aux entrées de clés de deux modules "T-DES", 9a et 9b, qui reçoivent, sur leurs entrées de données, les identifiants IDj. Les sorties de ces modules fournissent les clés diversifiées d'authentification de signature, dKSA^^ et dKSA2(,), clés transmises aux entrées de clés d'un troisième "T-DES", référencé 9c. Ce dernier reçoit sur son entrée de données, la signature SIGN, et les données de comptage de génération de signature optionnelles CGS. Les données ASIGN présentes sur la sortie du "T-DES" 9c sont sensées représenter les données ASIGN reconstituées. Elles sont donc comparées à ces dernières dans un module comparateur 9c. Le résultat de la comparaison, positif ou négatif, est disponible sur la sortie S" du module 9d. Ce résultat est retourné à l'usager qui en fait la demande, par exemple l'usager Uj, signé par les clés dKSA^ et dKSAij) et d'un "T-DES" 9e. Naturellement, ces clés, dKSA^ et dKSA (,), ne sont pas transmises directement par l'usager Uj, mais recalculées par l'autorité de certification CA, par application de "T-DES" (non représentés) et à l'aide des clés mères MKSA -MKSA^, d'une part, et MKSA rMKSA22, d'autre part, et de l'identifiant IDj de l'usager Uj, de façon analogue au calcul des clés dKSA^ et dKSA2(,). Le résultat signé R, en sortie du "T-DES" 9e, peut alors être déchiffré par l'usager Uj à l'aide de ses propres clés d'authentification dKSAiQ) et dKSA®, par application d'un "T-DES" supplémentaire (non représenté).The mother key pairs MKSA -MKSAπ, on the one hand, and MKSA21- MKSA 22 , on the other hand, are transmitted to the key inputs of two "T-DES" modules, 9a and 9b, which receive, on their inputs IDj identifiers. The outputs of these modules provide the diversified signature authentication keys, dKSA ^^ and dKSA 2 (, ) , keys transmitted to the key inputs of a third "T-DES", referenced 9c. The latter receives on its data input, the SIGN signature, and the optional signature generation counting data CGS. The ASIGN data present on the output of the "T-DES" 9c are supposed to represent the reconstituted ASIGN data. They are therefore compared with the latter in a comparator module 9c. The result of the comparison, positive or negative, is available on the output S "of the module 9d. This result is returned to the user who requests it, for example the user Uj, signed by the keys dKSA ^ and dKSA ij) and a "T-DES" 9e. Naturally, these keys, dKSA ^ and dKSA (,), are not transmitted directly by the user Uj, but recalculated by the certification authority CA, by application of "T-DES" (not shown) and to the using the mother keys MKSA -MKSA ^, on the one hand, and MKSA rMKSA 2 2, on the other hand, and the identifier ID j of the user Uj, in a manner analogous to the calculation of the keys dKSA ^ and dKSA 2 ( , ) . The signed result R, at the output of the "T-DES" 9e, can then be deciphered by the user U j using his own authentication keys dKSAi Q) and dKSA ®, by applying a " T-DES "additional (not shown).
Optionnellement, un mot de passe ou toute identification analogue ("PIN-code, etc.) peut être exigée pour renforcer encore la sécurité du processus.Optionally, a password or similar identification ("PIN-code, etc.) may be required to further enhance the security of the process.
A la lecture de ce qui précède, on constate aisément que l'invention atteint bien les buts qu'elle s'est fixés.On reading the above, it is easy to see that the invention achieves the goals it has set for itself.
Elle assure, notamment dans sa variante de réalisation préférée, une grande sécurité et la possibilité d'obtenir une non-répudiation des signatures émises, ce sans devoir recourir à des procédés de cryptage asymétriques au sein de cartes à puce, et de façon plus générale de terminaux embarqués légers à puce électronique. De ce fait, il devient possible d'utiliser des puces électroniques pourvues de moyens de calcul et de mémoire standards. En particulier, il n'est pas nécessaire que la puce électronique soit pourvue d'un co-processeur mathématique.It provides, in particular in its preferred embodiment, great security and the possibility of obtaining non-repudiation of the signatures issued, without having to resort to asymmetric encryption methods within smart cards, and more generally light on-board electronic chip terminals. As a result, it becomes possible to use electronic chips provided with standard calculation means and memory. In particular, the electronic chip need not be provided with a mathematical co-processor.
Il s'ensuit que le coût et la complexité induits par le procédé restent dans des limites acceptables pour des applications dites "grand public"It follows that the cost and the complexity induced by the process remain within acceptable limits for so-called "general public" applications.
Il doit être clair cependant que l'invention n'est pas limitée aux seuls exemples de réalisations explicitement décrits, notamment en relation avec les figures 1 à 10.It should be clear, however, that the invention is not limited to only the examples of embodiments explicitly described, in particular in relation to FIGS. 1 to 10.
En particulier, bien que l'algorithme asymétrique "RSA" et l'algorithme symétrique de type triple "DES" soient particulièrement intéressants, l'invention n'est en aucune façon limitée à ces seuls algorithmes. D'autres algorithmes, tant asymétriques que symétriques, respectivement, sont tout à fait envisageables. Le choix d'un algorithme particulier ne constitue qu'un choix technologique à la portée de l'Homme de Métier, en fonction notamment de l'application précise visée. In particular, although the asymmetric algorithm "RSA" and the symmetrical algorithm of triple type "DES" are particularly interesting, the invention is in no way limited to these algorithms alone. Other algorithms, both asymmetrical and symmetrical, respectively, are quite possible. Choosing an algorithm particular is only a technological choice within the reach of a person skilled in the art, depending in particular on the precise application targeted.

Claims

REVENDICATIONS
1. Procédé de génération de signature non-répudiable par une première entité d'un ensemble, notamment par un système embarqué à puce électronique comportant au moins des moyens de mémoire non-volatile et des moyens de calcul, ladite signature étant destinée à être diffusée et vérifiée par au moins l'une desdites entités de l'ensemble, caractérisé en ce qu'il comprend une phase préliminaire comportant au moins les étapes suivantes :1. Method for generating a signature which cannot be repudiated by a first entity of a set, in particular by an on-board system with an electronic chip comprising at least non-volatile memory means and calculation means, said signature being intended to be disseminated and verified by at least one of said entities of the assembly, characterized in that it comprises a preliminary phase comprising at least the following steps:
- le stockage dans lesdits moyens de mémoire non-volatile (M) de deux paires de clés de signature dites "mères" (MKS -MKS-[2, MKS2r MKS22), communes à toutes lesdites entités (CP„ CPj) ;- the storage in said non-volatile memory means (M) of two pairs of so-called "mother" signature keys (MKS -MKS- [ 2 , MKS 2 r MKS 22 ), common to all said entities (CP „CPj) ;
- la génération, à partir d'au moins une desdites paires de clés de signature "mères" (MKS -MKSi∑) et d'un identifiant unique (ID,), propre à ladite première entité (CP,), d'une première clé de signature dite diversifiée (dKS^), par application d'un algorithme de cryptographie symétrique (1) et le stockage de ladite clé diversifiée dans lesdits moyens de mémoire non-volatile (M) ;- The generation, from at least one of said pairs of "mother" signature keys (MKS -MKSi∑) and a unique identifier (ID,), specific to said first entity (CP,), of a first so-called diversified signature key (dKS ^), by applying a symmetric cryptography algorithm (1) and storing said diversified key in said non-volatile memory means (M);
- le stockage dudit identifiant unique (IDj) dans lesdits moyens de mémoire non-volatile (M) ;- storing said unique identifier (IDj) in said non-volatile memory means (M);
- la génération par une entité supplémentaire dite "autorité de certification" (CA) d'un certificat (CTA) constituant une habilitation à signer pour ladite première entité (CP,), ledit certificat (CTA) étant obtenu à partir au moins dudit identifiant (IDj) et d'une clé privée de chiffrement (KA) détenue par ladite autorité de certification (CA), par application d'un algorithme de cryptographie asymétrique (2), et le stockage dudit certificat (CTA) dans lesdits moyens de mémoire non- volatile (M) ; et- the generation by an additional entity called "certification authority" (CA) of a certificate (CTA) constituting an authorization to sign for said first entity (CP,), said certificate (CTA) being obtained from at least said identifier (IDj) and a private encryption key (K A ) held by said certification authority (CA), by application of an asymmetric cryptography algorithm (2), and the storage of said certificate (CTA) in said means of non-volatile memory (M); and
- la distribution, par ladite autorité de certification, d'une clé publique de vérification de signature (KP) à tout ou partie desdites entités (CPj, CPj) de l'ensemble et une phase subséquente comprenant au moins les étapes suivantes : - la génération de ladite signature non-répudiable (SIGNj) à partir de ladite première clé de signature diversifiée (dKS^(,j), d'une deuxième clé de signature diversifiée (dKS2(j), dKS'2(j)) et de données à transmettre (MSG) destinées à au moins une desdites entités (CPj) de l'ensemble, par application d'un algorithme de cryptage symétrique (3, 3') ; etthe distribution, by said certification authority, of a public signature verification key (K P ) to all or part of said entities (CPj, CPj) of the assembly and a subsequent phase comprising at least the following steps: the generation of said non-repudiable signature (SIGNj) from said first diversified signature key (dKS ^ (, j), of a second diversified signature key (dKS 2 (j), dKS ' 2 (j) ) and of data to be transmitted (MSG) intended for at least one of said entities (CPj) of the set, by application of a symmetric encryption algorithm (3, 3 '); and
- la diffusion à destination d'au moins l'une desdites entités (CPj) de l'ensemble d'au moins lesdites données (MSG), de ladite signature (SIGNi), dudit identifiant (/D,) et dudit certificat (CTA .- the distribution to at least one of said entities (CPj) of all of at least said data (MSG), said signature (SIGNi), said identifier (/ D,) and said certificate (CTA) .
2. Procédé selon la revendication 1 , caractérisé en ce que ladite deuxième clé de signature diversifiée (dKS2(ij) est générée, pendant ladite phase préliminaire, à partir de ladite deuxième paire de clés de signature "mères" (MKS2rMKS22) et dudit identifiant unique propre (IDj) à ladite première entité (CPi), par application d'un algorithme de cryptographie symétrique (1), et en ce que ladite deuxième clé de signature diversifiée (dKS {,)) est stockée dans lesdits moyens de mémoire non-volatile (M).2. Method according to claim 1, characterized in that said second diversified signature key (dKS 2 (ij) is generated, during said preliminary phase, from said second pair of "mother" signature keys (MKS 2 rMKS 22 ) and from said unique unique identifier (IDj) to said first entity (CPi), by applying a symmetric cryptography algorithm (1), and in that said second diversified signature key (dKS ( , ) ) is stored in said non-volatile memory means (M).
3. Procédé selon la revendication 1 , caractérisé en ce que ladite deuxième clé de signature diversifiée (dKS'2(j)) est générée à partir de ladite deuxième paire de clés de signature "mères" (MKS2 MKS22) et d'un identifiant unique (IDj) propre à l'une desdites entités (CPj), destinataire de ladite signature non- répudiable (SIGNi), par application d'un algorithme de cryptographie symétrique (3').3. Method according to claim 1, characterized in that said second diversified signature key (dKS ' 2 (j ) ) is generated from said second pair of "mother" signature keys (MKS 2 MKS 2 2) and d 'a unique identifier (IDj) specific to one of said entities (CPj), recipient of said non-repudiable signature (SIGNi), by application of a symmetric cryptography algorithm (3').
4. Procédé selon la revendication 1, caractérisé en ce qu'il comprend une étape supplémentaire de génération, pendant ladite phase préliminaire, par ladite autorité de certification (CA), d'une paire de clés de signature supplémentaires dites d'authentification (c CSAi(o, dKSA^) à partir de deux paires de clés de signature dites "mères"
Figure imgf000026_0001
propres à cette autorité (CA) et dudit identifiant (IDj) propre à ladite première entité (CP,), par application d'un algorithme de chiffrement symétrique (1', 1"), et en ce que ladite paire de clés d'authentification (dKSA^^, αf/CSA )) est stockée dans lesdits moyens de mémoire non-volatile (M).
4. Method according to claim 1, characterized in that it comprises an additional step of generation, during said preliminary phase, by said certification authority (CA), of a pair of additional signature keys called authentication (c CSAi (o, dKSA ^) from two pairs of signature keys known as "mothers"
Figure imgf000026_0001
specific to this authority (CA) and said identifier (IDj) specific to said first entity (CP,), by application of a symmetric encryption algorithm (1 ′, 1 ″), and in that said pair of keys authentication (dKSA ^^, αf / CSA)) is stored in said non-volatile memory means (M).
5. Procédé selon la revendication 4, caractérisé en ce qu'il comprend une étape de génération, par ladite première entité (CPi), de données dites d'authentification de signature (ASIGNj) à partir de ladite paire de clés de signature supplémentaires d'authentification (dKSA^, dKSA2(,)) et d'au moins ladite signature non-répudiable (SIGNi), et en ce que lesdites données d'authentification de signature (ASIGN1) sont diffusées à destination d'au moins une desdites entités (CPy) de l'ensemble.5. Method according to claim 4, characterized in that it comprises a step of generation, by said first entity (CPi), of so-called signature authentication data (ASIGNj) from said pair of additional signature keys d authentication (dKSA ^, dKSA 2 (,)) and at least said non-repudiable signature (SIGNi), and in that said signature authentication data (ASIGN1) are broadcast to at least one of said entities (CPy) of the set.
6. Procédé selon la revendication 1 , caractérisé en ce qu'il comprend une phase de vérification de ladite signature non-répudiable (SIGNi) par au moins une deuxième entité (CPy) dudit l'ensemble comportant au moins les étapes suivantes :6. Method according to claim 1, characterized in that it comprises a phase of verification of said non-repudiable signature (SIGNi) by at least a second entity (CPy) of said set comprising at least the following steps:
- la génération de première et seconde clés de signature diversifiées- generation of first and second diversified signature keys
(dKS-\, dKS2), chacune desdites clés de signature étant générée à partir desdites paires de clés "mères" " ( Sι M/CS12, MKS2rMKSZ2) stockées dans lesdits moyens de mémoire non-volatile (M) et dudit identifiant (IDi) diffusé par ladite première entité (CP,), par application d'un algorithme cryptographie symétrique (5a, 5b) ;(dKS- \ , dKS 2 ), each of said signature keys being generated from said pairs of "mother" keys (Sι M / CS 12 , MKS 2 rMKS Z 2) stored in said non-volatile memory means (M ) and said identifier (IDi) broadcast by said first entity (CP,), by application of a symmetric cryptography algorithm (5a, 5b);
- la reconstitution d'une signature (SIGN), à partir de ces dites clés de signature diversifiées (dKS , 52) et d'au moins desdites données (MSG) transmises par ladite première entité (CPi), par application d'un algorithme de cryptographie symétrique (5c) ; et- the reconstitution of a signature (SIGN), from these said diversified signature keys (dKS, 5 2 ) and at least of said data (MSG) transmitted by said first entity (CPi), by application of a symmetric cryptography algorithm (5c); and
- la vérification de ladite signature non-répudiable (SIGNi) générée par ladite première entité (CP,) par comparaison (S, 7) de celle-ci avec ladite signature reconstituée (SIGN), de manière à valider lesdites données transmises (MSG).- verification of said non-repudiable signature (SIGNi) generated by said first entity (CP,) by comparison (S, 7) thereof with said reconstituted signature (SIGN), so as to validate said transmitted data (MSG) .
7. Procédé selon la revendication 6, caractérisé en ce qu'il comprend une étape de vérification (8) dudit certificat (CTA,) transmis par ladite première entité (CPi), à l'aide de ladite clé publique de vérification de signature (Kp) délivrée par ladite autorité de certification (CA).7. Method according to claim 6, characterized in that it comprises a step of verification (8) of said certificate (CTA,) transmitted by said first entity (CPi), using said public signature verification key ( Kp) issued by said certification authority (CA).
8. Procédé selon la revendication 7, caractérisé en ce que ledit ensemble est partitionné en plusieurs groupes distincts d'entités et en ce que ladite autorité de certification (CA) distribue à chacun desdits groupes une clé publique différente.8. Method according to claim 7, characterized in that said set is partitioned into several distinct groups of entities and in that said authority certification (CA) distributes to each of said groups a different public key.
9. Procédé selon la revendication 5, caractérisé en ce qu'il comprend une phase de vérification desdites données d'authentification comportant au moins les étapes suivantes :9. Method according to claim 5, characterized in that it comprises a phase of verification of said authentication data comprising at least the following steps:
- la soumission à ladite autorité de certification (CA), par au moins l'une desdites entités (CPy) de l'ensemble, desdites données d'authentification (ASIGNi) reçues de ladite première entité (CP,) ;- the submission to said certification authority (CA), by at least one of said entities (CPy) of the set, of said authentication data (ASIGNi) received from said first entity (CP,);
- la génération par ladite autorité de certification (CA) de première et seconde clés de vérification diversifiées (dKSA^, dKSA2), chacune desdites clés de vérification étant générée à partir desdites paires de clés "mères" (MKSAu-MKSA Z, MKSA2rMKSA22) propres à ladite autorité de certification (CA) et dudit identifiant (ID,) diffusé par ladite première entité (CPi), par application d'un algorithme de cryptographie symétrique (9a, 9b) ;- The generation by said certification authority (CA) of first and second diversified verification keys (dKSA ^, dKSA 2 ), each of said verification keys being generated from said pairs of "mother" keys (MKSAu-MKSA Z , MKSA 2 rMKSA 22 ) specific to said certification authority (CA) and said identifier (ID,) disseminated by said first entity (CPi), by application of a symmetric cryptography algorithm (9a, 9b);
- la reconstitution de données d'authentification de signature (ASIGN), à partir de ces dites clés de vérification diversifiées générées (dKSA- , dKSA2) et d'au moins ladite signature (SIGNi) transmise par ladite première entité (CPi), par application d'un algorithme de cryptographie symétrique (9c) ; et- the reconstitution of signature authentication data (ASIGN), from these so-called diversified verification keys generated (dKSA-, dKSA 2 ) and at least said signature (SIGNi) transmitted by said first entity (CPi), by application of a symmetric cryptography algorithm (9c); and
- la vérification desdites données d'authentification de signature (ASIGNi), transmises par ladite première entité (CPi), par comparaison (S", 9d) de celles-ci avec lesdites données d'authentification de signature reconstituées (ASIGN), de manière à les valider ; et- verification of said signature authentication data (ASIGNi), transmitted by said first entity (CPi), by comparison (S ", 9d) of these with said reconstituted signature authentication data (ASIGN), so to validate them; and
- la retransmission du résultat (S") de la comparaison à ladite entité (CPy) ayant soumis lesdites données d'authentification de signature (ASIGNi).- the retransmission of the result (S ") of the comparison to said entity (CPy) having submitted said signature authentication data (ASIGNi).
10. Procédé selon la revendication 4, caractérisé en ce qu'il comprend des étapes de génération (4) de données de comptage de génération de signature (CSG) et en ce que lesdites données de comptage de génération de signature (CSG) sont utilisées conjointement aux dites données à transmettre (MSG) pour générer ladite signature non- répudiable (SIGNi) et/ou à cette signature (SIGNi) pour générer lesdites données d'authentification de signature {ASIGNi).10. Method according to claim 4, characterized in that it comprises steps of generation (4) of signature generation counting data (CSG) and in that said signature generation counting data (CSG) are used together with said data to be transmitted (MSG) to generate said non-repudiable signature (SIGNi) and / or to this signature (SIGNi) to generate said signature authentication data (ASIGNi).
11. Procédé selon la revendication 1 , caractérisé en ce que lesdits algorithmes de cryptographie symétrique (1, 3) sont constitués par des triples "DES".11. Method according to claim 1, characterized in that said symmetric cryptography algorithms (1, 3) are constituted by triple "DES".
12. Procédé de génération de signature non-répudiable par une première entité (CPi) d'un ensemble, notamment par un système embarqué à puce électronique comportant au moins des moyens de mémoire non-volatile et des moyens de calcul, ladite signature étant destinée à être diffusée et vérifiée par au moins l'une desdites entités (CPj) de l'ensemble, caractérisé en ce qu'il consiste à générer ladite signature non-répudiable (SIGNi) à partir d'une première clé de signature diversifiée (dKS^) obtenue à partir d'au moins une paire de clés de signature "mères" (MKSn-MKSπ) communes à toutes les entités (CPi, CPj) et d'un identifiant unique (IDi), propre à ladite première entité (CPi) par application d'un algorithme de cryptographie symétrique (1), d'une deuxième clé de signature diversifiée (dKS≤©, dKS'2(j)) et de données à transmettre (MSG) destinées à au moins une desdites entités (CPy) de l'ensemble, par application d'un algorithme de cryptage symétrique (3, 3'), la signature étant destinée à être diffusée à au moins l'une desdites entités (CPj) de l'ensemble avec au moins lesdites données (MSG), ledit identifiant (ID,) et un certificat (CTA,) constituant une habilitation à signer pour la première entité (CPi) obtenu à partir au moins dudit identifiant (IDi) et d'une clé privée de chiffrement (KA) détenue par une autorité de certification (CA), par application d'un algorithme de cryptographie asymétrique (2).12. Method for generating a non-repudiable signature by a first entity (CPi) of a set, in particular by an on-board system with an electronic chip comprising at least non-volatile memory means and calculation means, said signature being intended to be broadcast and verified by at least one of said entities (CPj) of the set, characterized in that it consists in generating said non-repudiable signature (SIGNi) from a first diversified signature key (dKS ^) obtained from at least one pair of "mother" signature keys (MKSn-MKSπ) common to all the entities (CPi, CPj) and a unique identifier (IDi), specific to said first entity (CPi ) by applying a symmetric cryptography algorithm (1), a second diversified signature key (dKS≤ ©, dKS ' 2 (j)) and data to be transmitted (MSG) intended for at least one of said entities ( CPy) of the set, by application of a cry algorithm symmetrical page (3, 3 '), the signature being intended to be distributed to at least one of said entities (CPj) of the set with at least said data (MSG), said identifier (ID,) and a certificate ( CTA,) constituting an authorization to sign for the first entity (CPi) obtained from at least said identifier (IDi) and a private encryption key (K A ) held by a certification authority (CA), by application of 'an asymmetric cryptography algorithm (2).
13.Procédé de personnalisation d'une entité (CPi) d'un ensemble dans le but de mettre en œuvre le procédé de génération de signature non-répudiable par ladite entité (CPi) selon la revendication 12, caractérisé en ce qu'il comprend les étapes suivantes :13. A method of personalizing an entity (CPi) of a set for the purpose of implementing the method of generating a signature which cannot be repudiated by said entity (CPi) according to claim 12, characterized in that it comprises the following steps:
- le stockage dans lesdits moyens de mémoire non-volatile (M) de deux paires de clés de signature dites "mères" (MKS -MKS 2, MKS2r MKS22), communes à toutes lesdites entités (CPj, CPj) ; - la génération, à partir d'au moins une desdites paires de clés de signature "mères" (MKSu-MKS^) et dudit identifiant unique (IDi), propre à ladite première entité (CP,), de ladite première clé de signature diversifiée (dKS^), par application d'un algorithme de cryptographie symétrique (1) et le stockage de ladite clé diversifiée dans lesdits moyens de mémoire non-volatile (M) ;- the storage in said non-volatile memory means (M) of two pairs of so-called "mother" signature keys (MKS -MKS 2 , MKS 2 r MKS22), common to all of said entities (CPj, CPj); the generation, from at least one of said pairs of "mother" signature keys (MKSu-MKS ^) and of said unique identifier (IDi), specific to said first entity (CP,), of said first signature key diversified (dKS ^), by applying a symmetric cryptography algorithm (1) and storing said diversified key in said non-volatile memory means (M);
- le stockage dudit identifiant unique (IDi) dans lesdits moyens de mémoire non-volatile (M) ;- storing said unique identifier (IDi) in said non-volatile memory means (M);
- le stockage dans lesdits moyens de mémoire non-volatile (M) dudit certificat (CTAi) généré par une entité supplémentaire dite "autorité de certification" (C4) constituant une habilitation à signer pour ladite première entité (CPi), ledit certificat (CTA) étant obtenu à partir au moins dudit identifiant (IDi) et de ladite clé privée de chiffrement (KA) détenue par ladite autorité de certification (CA), par application d'un algorithme de cryptographie asymétrique (2).- the storage in said non-volatile memory means (M) of said certificate (CTAi) generated by an additional entity called "certification authority" (C4) constituting an authorization to sign for said first entity (CPi), said certificate (CTA) ) being obtained from at least said identifier (IDi) and said private encryption key (K A ) held by said certification authority (CA), by application of an asymmetric cryptography algorithm (2).
14. Système embarqué à puce électronique destiné à la génération d'une signature non-répudiable destinée à être diffusée et vérifiée par au moins un deuxième système embarqué d'un ensemble, chacun desdits systèmes embarqués comprenant au moins des moyens de mémoire ήon-volatile et des moyens de calculs implantés dans ladite puce électronique, caractérisé en ce que lesdits moyens de mémoires non-volatile (M) stockent au moins deux paires de clés de vérification dites "mères" (MKS -MKS , MKS2rMKS22), un identifiant (IDi) propre au dit système embarqué (CPi), au moins une première clé de vérification dite "diversifiée" (dKS^), générée à partir d'une desdites paires de clés de vérification "mères" (MKSU-MKSM) et dudit identifiant (ID,), par application d'un algorithme de cryptographie symétrique (1), et un certificat (CTAi), généré par une entité dite "autorité de certification" (CA) à partir d'une clé privée de signature (KA) détenue par ladite autorité de certification (CA) et dudit identifiant (IDi), par application d'un algorithme de cryptographie asymétrique (2), et en ce qu'il comprend des moyens de génération (1) de ladite signature par application d'un algorithme de cryptographie symétrique (3, 3'), en faisant usage de ladite première clé de signature diversifiée (αf/ Si{,)), d'une seconde clé de signature diversifiée (dKS2(j), dKS'2(j)) et de données à diffuser et à signer (MSG), pour transmission à destination d'au moins un deuxième système embarqué (CPy) dudit ensemble.14. On-board electronic chip system intended for the generation of a non-repudiable signature intended to be disseminated and verified by at least one second on-board system of a set, each of said on-board systems comprising at least ήon-volatile memory means and calculation means installed in said electronic chip, characterized in that said non-volatile memory means (M) store at least two pairs of so-called "mother" verification keys (MKS -MKS, MKS 2 rMKS 22 ), a identifier (IDi) specific to said on-board system (CPi), at least one first verification key known as "diversified" (dKS ^), generated from one of said pairs of verification keys "mothers" (MKS U -MKS M ) and said identifier (ID,), by application of a symmetric cryptography algorithm (1), and a certificate (CTAi), generated by an entity called "certification authority" (CA) from a private key of signature (K A ) d held by said certification authority (CA) and said identifier (IDi), by application of an asymmetric cryptography algorithm (2), and in that it comprises means of generation (1) of said signature by application of a symmetric cryptography algorithm (3, 3 '), making use of said first diversified signature key (αf / Si ( , ) ), of a second diversified signature key (dKS 2 ( j), dKS' 2 ( j) ) and data to be disseminated and to sign (MSG), for transmission to at least one second on-board system (CPy) of said set.
15. Système selon la revendication 14, caractérisé en ce que lesdits moyens de mémoire (M) stockent en outre une paire de clés de vérification supplémentaires dites d'authentification (dKSA^, KSAnjj), générées par ladite autorité de certification (CA) à partir d'une paire de clés de vérification dites "mères" (MKSA -MKSA^, MKSA2rMKSA22) propres à cette autorité de certification (CA) et dudit identifiant (IDi) propre à ladite première entité (CP,), par application d'un algorithme de chiffrement symétrique (1', 1").15. The system as claimed in claim 14, characterized in that said memory means (M) further store a pair of additional verification keys known as authentication keys (dKSA ^, KSAn j j), generated by said certification authority (CA ) from a pair of so-called "mother" verification keys (MKSA -MKSA ^, MKSA 2 rMKSA 2 2) specific to this certification authority (CA) and said identifier (IDi) specific to said first entity (CP, ), by applying a symmetric encryption algorithm (1 ', 1 ").
16. Système selon la revendication 14, caractérisé en ce qu'il est constitué par une carte à puce (CPi). 16. System according to claim 14, characterized in that it is constituted by a smart card (CPi).
PCT/FR2001/002720 2000-08-31 2001-08-31 Method for generating unchallengeable signatures, in particular by an integrated system, and integrated system therefor WO2002019613A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AU2001287797A AU2001287797A1 (en) 2000-08-31 2001-08-31 Method for generating unchallengeable signatures, in particular by an integratedsystem, and integrated system therefor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR00/11142 2000-08-31
FR0011142A FR2813467B1 (en) 2000-08-31 2000-08-31 METHOD FOR GENERATING NON-REPUDIABLE SIGNATURES, IN PARTICULAR BY AN ON-BOARD SYSTEM, AND ON-BOARD SYSTEM FOR IMPLEMENTING THE METHOD

Publications (1)

Publication Number Publication Date
WO2002019613A1 true WO2002019613A1 (en) 2002-03-07

Family

ID=8853868

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2001/002720 WO2002019613A1 (en) 2000-08-31 2001-08-31 Method for generating unchallengeable signatures, in particular by an integrated system, and integrated system therefor

Country Status (4)

Country Link
AU (1) AU2001287797A1 (en)
FR (1) FR2813467B1 (en)
TW (1) TW535380B (en)
WO (1) WO2002019613A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2857184A1 (en) * 2003-07-04 2005-01-07 Thomson Licensing Sa METHOD OF ENCRYPTING / DECEIVING A MESSAGE AND ASSOCIATED DEVICE

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0820169A2 (en) * 1996-07-15 1998-01-21 Schlumberger Industries System for information diversification in a distribution network for products or services

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0820169A2 (en) * 1996-07-15 1998-01-21 Schlumberger Industries System for information diversification in a distribution network for products or services

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2857184A1 (en) * 2003-07-04 2005-01-07 Thomson Licensing Sa METHOD OF ENCRYPTING / DECEIVING A MESSAGE AND ASSOCIATED DEVICE
WO2005006645A1 (en) * 2003-07-04 2005-01-20 Thomson Licensing Method for encoding/decoding a message and associated device

Also Published As

Publication number Publication date
FR2813467A1 (en) 2002-03-01
TW535380B (en) 2003-06-01
AU2001287797A1 (en) 2002-03-13
FR2813467B1 (en) 2002-10-11

Similar Documents

Publication Publication Date Title
EP0675614B1 (en) Apparatus for the secure exchange of data according to the RSA method limited to digital signatures and message verification and smart card containing such an apparatus
EP1234284A1 (en) Method for making secure the pre-initialising phase of a silicon chip integrated system, in particular a smart card and integrated system therefor
FR2834403A1 (en) CRYPTOGRAPHIC GROUP SIGNATURE SYSTEM
EP2345202B1 (en) Digital signature method in two steps
EP1791292B1 (en) Personalisation of an electronic circuit
EP1381183B1 (en) Message authentication device
EP1791291A1 (en) Personalization of a bankcard for other applications
WO2007045745A1 (en) Method and device for creating a group signature and related method and device for verifying a group signature
WO2017182747A1 (en) Method for obtaining a security token by a mobile terminal
EP1514377A1 (en) Interface method and device for the on-line exchange of contents data in a secure manner
FR2834841A1 (en) CRYPTOGRAPHIC REVOCATION PROCESS USING A CHIP CARD
EP0769768B1 (en) Cryptographic method to protect against fraud
EP2954449B1 (en) Digitised handwritten signature authentication
WO2003055134A9 (en) Cryptographic method for distributing load among several entities and devices therefor
WO2002019613A1 (en) Method for generating unchallengeable signatures, in particular by an integrated system, and integrated system therefor
EP4012972A1 (en) Method for selective disclosure of data via a blockchain
EP0743775B1 (en) Method of zero-knowledge digital signatures, for creating a collision-resistant signature
EP3729720A1 (en) Cryptographic method for group signature
WO1998010563A2 (en) Instrument for making secure data exchanges
EP1269431A1 (en) Method for protecting an electronic chip against fraud
WO2023041863A1 (en) Methods and devices for authentication and verification of non-revocation
EP2129115A1 (en) Method for updating security data in a security module and security module for implementing this method
FR2764148A1 (en) Encryption device for use by individuals communicating via network
FR2753027A1 (en) Security device for data exchange network
FR3014582A1 (en) METHOD FOR TESTING MOV CONDITION AND DEVICE THEREFOR

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AU BR CA CN JP KR NO SG US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP